Метка «remote code execution»

в 5:19, , рубрики: remote code execution, ruby, метки: ,

Приветствую уважаемое Ruby сообщество.

Странно, что этой новости еще нет на Хабре, но вчера рано утром разработчики Ruby сообщили о найденном переполнении кучи при парсинге значений с плавающей точкой. Данной уязвимости был присвоен код CVE-2013-4164. Также ребята предупреждают что эта ошибка может вызвать как минимум отказ в обслуживании, но с определенной долей вероятности в Ruby приложения можно внедрить произвольный код.

Список уязвимых версий:

  • Все версии ruby 1.8
  • Все версии ruby 1.9 вплоть до 1.9.3 patchlevel 484
  • Все версии ruby 2.0 вплоть до 2.0.0 patchlevel 353
  • Все версии ruby 2.1 вплоть до 2.1.0 preview2
  • Все версии в trunk до ревизии 43780

Читать полностью »

в 23:02, , рубрики: php, remote code execution, безопасность, безопасность веб-приложений, системное администрирование, метки: , , ,

В общем-то такая простая, но эффективная защита основана на том предположении, что программисты того или иного софта достаточно адекватно оценивают необходимость шелл-вызовов непосредственно через веб-сервер и зачастую отказываются от такого не самого лучшего способа интерактива с операционной системой.

Практика показывает, что подобные операции часто или избегают или выносят их в задачи cron. А последние, как правило, запускаются через CLI (например, "/usr/bin/php /path/to/cron.php").

Следовательно, нужно отключить шелл-вызовы именно для веб-сервера, оставив их для CLI.

Читать полностью »

Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js