Антон Исайкин опубликовал (http://habrahabr.ru/blogs/infosecurity/70330/) результаты шокирующего исследования, показавшего, что банальная невнимательность при обращении с системой контроля версий  Subversion может привести к уязвимости крупнейших ресурсов, среди которых некоторые проекты Rambler, Yandex, РБК, mail.ru, 003.ru, bolero.ru, habrahabr.ru, сайты opera.com, apache.org.

Проблема в том, что при генерации корня сайта из SVN, создается директория .svn с полной копией всех данных, Если доступ к данной директории не закрыть, а как показала практика никто на это не обращает внимание, то любой злоумышленник, зная структуру системного каталога SVN, может получить доступ к исходным текстам всех скриптов и файлов (все последние версии файлов хранятся с расширением .svn-base, что дает возможность открыть их как текст). Сканирование доменов рунета на предмет наличия файла "/.svn/entries" привело к обнаружению 3320 уязвимых хостов.

URL: http://habrahabr.ru/blogs/infosecurity/70330/
Новость: http://www.opennet.me/opennews/art.shtml?num=23589

• Неосторожное обращение с Subversion привело к уязвимости тыс...,аноним, 00:15 , 26-Сен-09
  • Неосторожное обращение с Subversion привело к уязвимости тыс...,Аноним, 19:10 , 05-Окт-09
• Неосторожное обращение с Subversion привело к уязвимости тыс...,Karbofos, 00:23 , 26-Сен-09
• Неосторожное обращение с Subversion привело к уязвимости тыс...,Анон, 00:36 , 26-Сен-09
  • Неосторожное обращение с Subversion привело к уязвимости тыс...,Аноним, 00:58 , 26-Сен-09
    • Неосторожное обращение с Subversion привело к уязвимости тыс...,Аноним, 08:41 , 26-Сен-09
      • Неосторожное обращение с Subversion привело к уязвимости тыс...,Alexey, 13:43 , 26-Сен-09
      • Неосторожное обращение с Subversion привело к уязвимости тыс...,Аноним, 02:41 , 27-Сен-09
  • Неосторожное обращение с Subversion привело к уязвимости тыс...,тигар, 12:02 , 26-Сен-09
• Неосторожное обращение с Subversion привело к уязвимости тыс...,Pilat, 01:02 , 26-Сен-09
  • Неосторожное обращение с Subversion привело к уязвимости тыс...,charon, 11:14 , 29-Сен-09
• Неосторожное обращение с Subversion привело к уязвимости тыс...,Square, 02:16 , 26-Сен-09
• Неосторожное обращение с Subversion привело к уязвимости тыс...,RapteR, 09:03 , 26-Сен-09
  • Неосторожное обращение с Subversion привело к уязвимости тыс...,Samm, 11:22 , 26-Сен-09
• Теперь всё ясно.,Natrio, 09:51 , 26-Сен-09
• Неосторожное обращение с Subversion привело к уязвимости тыс...,Aesthetus Animus, 10:56 , 27-Сен-09
  • Неосторожное обращение с Subversion привело к уязвимости тыс...,тигар, 23:33 , 27-Сен-09
    • Неосторожное обращение с Subversion привело к уязвимости тыс...,User294, 13:26 , 28-Сен-09
    • Неосторожное обращение с Subversion привело к уязвимости тыс...,Aesthetus Animus, 14:39 , 28-Сен-09
      • Неосторожное обращение с Subversion привело к уязвимости тыс...,тигар, 14:47 , 28-Сен-09
        • Неосторожное обращение с Subversion привело к уязвимости тыс...,Michael Shigorin, 03:04 , 29-Сен-09
  • Неосторожное обращение с Subversion привело к уязвимости тыс...,ihanick, 00:23 , 28-Сен-09
    • Неосторожное обращение с Subversion привело к уязвимости тыс...,Aesthetus Animus, 14:37 , 28-Сен-09
    • Неосторожное обращение с Subversion привело к уязвимости тыс...,аноним, 15:32 , 29-Сен-09
• Неосторожное обращение с Subversion привело к уязвимости тыс,Denis, 18:33 , 02-Окт-09
  • Неосторожное обращение с Subversion привело к уязвимости тыс,Злой дев, 17:44 , 05-Окт-09
• Неосторожное обращение с Subversion привело к уязвимости тыс...,ffsdmad, 00:43 , 09-Окт-09

и что ?
кто-то увидит исходники моего сайтега на друпале?

На вашем сайте опасная уязвимость - враг может слить ваш index.html :)

вот и станет опера опенсорсом ;-)

Вот потому и люблю GIT - одна папка .git и ничего лишнего. HG также подвержен данному преимуществу :)

Чем папка .git принципиально отличается от .svn?

>Чем папка .git принципиально отличается от .svn?

Тем, что она не создается в дереве созданных после checkout данных.

2 причины почему .git лучше .svn для взломщика:
1) Взломщику не надо шерстить все дерево каталогов для получения слепка сайта (как для .svn), т.к. каталог .git содержит всю необходимую информацию
2) Взломщик получает не последнии версии файлов в репозитории, а весь репозиторий с историей, что особенно полезно, т.к. в первых коммитах неосторожные программисты имеют привычку явно прописывать свои пароли (которые использовались на время тестирования).

А где она создается? В svn тоже можно получить файлы без создания .svn.

стянув .git ты локально из этой херни сможешь поиметь копию файлов. теже яйца только в профиль.

>...никто на это не обращает внимания ... 3320 уязвимых хостов.
>

Вывод: В России 3320 хостов. Пузырь лопнул.

Я не знаю как это "открытие" могло остаться незамеченным, но все, хоть раз ставившие распространённые программы, типа Drupal, видели, что он в .htaccess запрещает доступ ко многим директориям и к .svn в частности, и наверняка в своих проектах тоже закрывают доступ. В России несколько больше, чем 3320 хостов.

Что за странный вывод? 3320 хостов, использующих SVN с невнимательными админами.

Да, да, мы в курсе, мы читаем Хабр :)
Отличная работа и хорошо проведенное исследование.
Странно что новость появилась на опенете только через два дня.

http://ru2.php.net/.svn/entries - уже интереснее. На апаче до сих пор хтаксес не положили :(

>http://ru2.php.net/.svn/entries - уже интереснее. На апаче до сих пор хтаксес не положили
>:(

Стгашная дыга, особенно учитывая то, что он кормится из паблик свн )

Так вот кто искал у нас на сервере /.svn/entries/
(Которых сроду не было)
А то раньше всё больше /phpmyadmin/setup.php искали. Логи сервера как детектив читать можно. :)

Это ж каким надо дятлом быть, чтобы checkout-копию разместить на сайте???

веб девелопером, а что?

Настолько безбашенных вебдевов я не видел. Хотя если верить результатам - они вполне себе бывают :D.Совет им на будущее: будьте человеками! Выкладывайте сразу тарболы и ссылки на них - так качать попроще ;)

>веб девелопером, а что?

Сами-то не чуствуете, как от вашей реплики отдает протухшим снобизмом?

каков вопрос - таков ответ. не админы ж так делают;-)

Errare errarum err. :)

как насчёт синхронизации бекэндов с возможностью быстрого отката на дереве в 50тыс сорцовых файлов с гарантией, что все бекенды соответствуют мастеркопии?
rsync надо постоянно указывать эксклуды новые, чтобы он очередные несколько гигабайт картинок не начал синхронизировать (которые и так одинаковые потому что смонтированы с NAS)

>как насчёт синхронизации бекэндов с возможностью быстрого отката на дереве в 50тыс
>сорцовых файлов с гарантией, что все бекенды соответствуют мастеркопии?

Вы считаете, что это надо? Как известно, все люди умные, только одни сразу, а другие - потом. Иными словами, надо думать заранее, как это у будут гонятся гигабайты исходников, а не выдумывать костыльные решения.

> как насчёт синхронизации бекэндов с возможностью быстрого отката на дереве в 50тыс сорцовых файлов с гарантией, что все бекенды соответствуют мастеркопии?

Да. Но никогда не чекаутом `прям туда'.

>(которые и так одинаковые потому что смонтированы с NAS)

Что, rsync вдруг разучился --one-file-system?

А что простите папка .svn вообще делает на продакшане??? :-О

Чё то я не пойму, никогда не работали на больших динамических проектах? Наверное админ, который сам ничего не пишет, админит корпоративную статику "О нас + Контакты" и думает, что идеальный сайт должен иметь до 10 стр, чтобы дегко было их хапомнить наизусть. Нормально продакшн живёт в чекауте, добавляется вот это (см. ниже) в  ещё до того, как в далёком будущем будет обнаружен очередной фокус )

# hide all dot-files: .svn, .htconfig etc
RedirectMatch 403 /\..*$

!коммент спец для таких админов

а можно я такое же исследование опубликую, столько про CVS
на мастер хост нет svn git и прочих, вот и юзаем cvs
теперь все кому не лень увидят мои css html shtml js и xsl