Re: OpenVZ

To: debian-russian@lists.debian.org
Subject: Re: OpenVZ
From: Artem Chuprina <ran@ran.pp.ru>
Date: Fri, 12 Mar 2010 12:53:19 +0300
Message-id: <[🔎] 85018816@wizzle.ran.pp.ru>
Mail-followup-to: debian-russian@lists.debian.org
In-reply-to: <[🔎] 201003121222.18689.pechnikov@mobigroup.ru> (Alexey Pechnikov's message of "Fri, 12 Mar 2010 12:22:18 +0300")
References: <201002121511.21656.pechnikov@mobigroup.ru> <[🔎] 201003111939.36881.pechnikov@mobigroup.ru> <[🔎] 88548533@wizzle.ran.pp.ru> <[🔎] 201003121222.18689.pechnikov@mobigroup.ru>

Alexey Pechnikov -> debian-russian@lists.debian.org  @ Fri, 12 Mar 2010 12:22:18 +0300:

 >>  AP> Пока что я не вижу, что вы добились, закрывая порт 80. Если кого-то
 >>  AP> сломают через php, то через него же и зальют любые нужные файлы, то
 >>  AP> же самое с апачем.
 >> 
 >> "Ты пальцем покажи".  Вот у тебя есть уязвимость, позволяющая выполнить
 >> на сервере шелловскую команду.  Любую.  Но - stdin/stdout у нее в
 >> /dev/null (у PHP может быть хуже, да, а в случае с уязвимостью в модуле
 >> у апача или у твоего любимого AOL, скорее всего, будет именно так, если
 >> ошибка не в mod_cgi).  Вопрос.  Какую команду ты будешь выполнять?
 >> 
 >> 
 AP> Нечто, что принимает на stdin залитый через веб-интерфейс файл

/dev/null у нее stdin.

-- 
Кто первый встал, того и грабли
	Д. Белявский

Reply to:

Follow-Ups:
- Re: OpenVZ
  - From: Alexey Pechnikov <pechnikov@mobigroup.ru>

References:
- Re: OpenVZ
  - From: Alexey Pechnikov <pechnikov@mobigroup.ru>
- Re: OpenVZ
  - From: Artem Chuprina <ran@ran.pp.ru>
- Re: OpenVZ
  - From: Alexey Pechnikov <pechnikov@mobigroup.ru>

Prev by Date: Re: OpenVZ
Next by Date: Re: Выбор псевдо-аппаратного NAS
Previous by thread: Re: OpenVZ
Next by thread: Re: OpenVZ
Index(es):
- Date
- Thread