Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Ещё одна уязвимость в Apache httpd, позволяющая обратиться за пределы корневого каталога, opennews (??), 08-Окт-21, (0) [смотреть все] недоработали ребята, ну ничего, исправили, Qwerty (??), 08:52 , 08-Окт-21, (1) +4 // Экстремальное программирование - отладка на пользователях Типа актуальный метод, Аноним (2), 08:54 , 08-Окт-21, (2) +16 // а я думал что ЭП это когда ты одной рукой кодишь на ноуте, а другой противостоиш, Qwerty (??), 09:04 , 08-Окт-21, (5) +1 Экстремальное программирование - это про test-driven development Отладка на пол, Аноним (17), 10:31 , 08-Окт-21, (17) +3 // и то, и другое разновидность Lox Driven Development, kissmyass (?), 17:59 , 08-Окт-21, (37) –2 И должно быть запрещено в России , Аноним (53), 23:32 , 08-Окт-21, (53) И в следствии Apache httpd будет защищен от всех уязвимостей законодательством Р, Anon2 (?), 09:26 , 09-Окт-21, (70) CI, Sw00p aka Jerom (?), 10:54 , 08-Окт-21, (20) –1 Сейчас походу все так разрабатывается и в продакшон Что телефоны, что машины , KT315 (ok), 09:13 , 09-Окт-21, (67) Не страшно В прдакшн не ставят, Аноним (2), 08:55 , 08-Окт-21, (3) +7 // Ну, bleeding edge на то и bleeding edge Вменяемые на таковом сидящие прекрасно э, Онаним (?), 09:30 , 08-Окт-21, (9) +1 // Я с этими переплясками включил ждуна, и пожалуй ещё пару месяцев выжду - и далее, Онаним (?), 09:32 , 08-Окт-21, (10) Что вы хотели сказать вот этой фразой , Аноним (16), 10:24 , 08-Окт-21, (16) –2 // Предположу, что фразой bleeding edge он хотел сказать bleeding edge , Ordu (ok), 18:50 , 08-Окт-21, (39) +1 Абсолютно так Говоря bleeding edge , я имел в виду именно bleeding edge , не п, Онаним (?), 11:06 , 09-Окт-21, (76) +1 позорище, Аноним (4), 09:01 , 08-Окт-21, (4) +2 Шо, опять , Ананоним (?), 09:05 , 08-Окт-21, (6) +1 А потом тройного, четверного Не кажется ли, что они не на том конце проверку , Аноним (7), 09:11 , 08-Окт-21, (7) +4 // Кажется Херачь молнией, Г-ди, не осталось тут праведников Уж если в разработчик, пох. (?), 19:16 , 08-Окт-21, (41) +4 // Макак туда понабрали еще во времена разработки ветки 2 В 1 3 все было аккуратно, Аноним (57), 00:40 , 09-Окт-21, (57) +1 // Ну, там разно было - достаточно вспомнить, что вызвало появление 1 3 26 правда,, пох. (?), 12:29 , 09-Окт-21, (81) Ох, пляски вокруг lingering sockets - это вообще следствие родовой травмы http С, Аноним (57), 14:26 , 09-Окт-21, (86) Возможно К 2 2 я уже полностью перелез на nginx В принципе, сменил одни грабли, Аноним (57), 14:29 , 09-Окт-21, (87) если клиент сидит за семью проксями, то придется делатьи восьмипроходное декодир, john_erohin (?), 17:25 , 10-Окт-21, (89) // вот прокси пусть и делает Никто тебе не гарантирует что урл что-то вообще, пох. (?), 07:48 , 12-Окт-21, (91) Эээээ, а с хрена ли оно делает двойное декодирование Кого вообще к эскейпингу по, Онаним (?), 09:29 , 08-Окт-21, (8) +5 // Двойные стандарты, Аноним (11), 09:37 , 08-Окт-21, (11) +2 Этих, как их эсджевешников , Аноним (62), 03:53 , 09-Окт-21, (62) –1 Так и придется переделать себе работающий-ничего-не-трогай сайт с версии PHP 7 0, Аноним (12), 09:45 , 08-Окт-21, (12) –1 Может всё-таки в тёмное место этот percent encoding пора, а Юникот на дворе , Аноним (14), 10:01 , 08-Окт-21, (14) +1   // deleted , burjui (ok), 12:39 , 08-Окт-21, (30)   Вообще, конечно, пора, но это не отменяет того факта, что код декодирования писа, burjui (ok), 12:40 , 08-Окт-21, (31) +1   Дежа вю И снова Debian to the rescue , InuYasha (??), 10:07 , 08-Окт-21, (15) –1 Надо было юзатб nginx, Рейка Сметанова (ok), 10:40 , 08-Окт-21, (18) –1 // Не nginx, а thttpd , Аноним (21), 10:59 , 08-Окт-21, (21) // Чем он лучше , Аноним (27), 11:55 , 08-Окт-21, (27) –1 // да, Qwerty (??), 12:25 , 08-Окт-21, (29) –5 Да чё мелочиться, надо использовать то, что под рукой busybox httpd, OpenEcho (?), 18:38 , 08-Окт-21, (38) Все же пора на rust , Аноним (19), 10:51 , 08-Окт-21, (19) –1 // Не на Rust, а на Elm , Аноним (21), 11:02 , 08-Окт-21, (22) –2 // Хрен редьки не слаще , Аноним (19), 11:09 , 08-Окт-21, (23) –2 // https github com marceloboeira rust-elm, Аноним (21), 11:39 , 08-Окт-21, (26) –1 Ммм еще и с докером Нямка Предлагают назвать переписанный продукт не апач, а с, Аноним (19), 12:23 , 08-Окт-21, (28) with multistage docker build, а не хрен собачий Впопачь Что отражает ориент, пох. (?), 19:23 , 08-Окт-21, (43) +2 Вы такой злой потому, что лысый , Аноним (50), 20:49 , 08-Окт-21, (50) –1 Он зол, но справедлив В наше время без этого никак , Аноним (19), 00:21 , 09-Окт-21, (56) А в чём смысл этой справедливости поха , Аноним (21), 10:26 , 09-Окт-21, (75) Не на раст а просто запускать в докере , Terraforming (ok), 15:32 , 08-Окт-21, (34) –1 // А докер в докере с докером добавив докер спросив о докере , Alladin (?), 23:50 , 08-Окт-21, (55) +1 // Docker это старый добрый chroot только лучше Apache еще в 2002 запускали в chro, Terraforming (ok), 04:14 , 09-Окт-21, (63) –2 чем лучше - чем грузины https www cvedetails com product 28125 Docker-Docker h, пох. (?), 09:24 , 09-Окт-21, (69) Согласен, такую халтуру с путями сделать это смешно Я не осведомлен какие апи ис, Alladin (?), 23:49 , 08-Окт-21, (54) // Если rust локальные файлы открывает с перекодировкой из url encoding то у меня д, Аноним (61), 03:20 , 09-Окт-21, (61) +1 Два релиза в неделю Вот что Раст от-контроля-отучающий делать может , Аноним (-), 12:53 , 08-Окт-21, (32) –1 // С 28 сентября ажно 3 Вот и уровень современных сишников Под деградацию протаща, Аноним (19), 13:32 , 08-Окт-21, (33) // Дык раст изначально под деградатов делали , BorichL (ok), 15:51 , 08-Окт-21, (35) +1 // Правильно Которые в си осилили так, как есть На примере сабжа даже видно Но чт, Аноним (19), 16:14 , 08-Окт-21, (36) –1 так что со старым все в общем хорошо Остается расслабиться и подождать еще одно , пох. (?), 19:22 , 08-Окт-21, (42) Так то оно так, но не забываем о 28 сентября https www vuxml org freebsd 882a, Аноним (19), 19:55 , 08-Окт-21, (44) Или от 23 сентябряhttps www cvedetails com cve CVE-2021-40146 , Аноним (19), 20:02 , 08-Окт-21, (45) Сам не юзаю папач года полтора Смотрю на все и понимаю, вовремя срулил , Аноним (19), 20:03 , 08-Окт-21, (46) –1 это не имеет ни малейшего отношения к httpd Уровень впопеннета, чо , пох. (?), 20:26 , 08-Окт-21, (49) Соряю, мой косяк Не тот линк спастилсяhttps www cvedetails com vulnerability-, Аноним (19), 22:22 , 08-Окт-21, (51) Ну а если не копипастить а еще и читать - там большая часть проблем традиционно , пох. (?), 09:18 , 09-Окт-21, (68) Почему ты считаешь, что если культура производства этого мода такая, то в осталь, Аноним (19), 10:09 , 09-Окт-21, (72) Ну а суть человеков не менялась с времен начала нашей эры Менялись лишь декорац, Аноним (19), 10:17 , 09-Окт-21, (74) –1 перечитай Старшую Эдду Еще как менялась Ну или нартский эпос, куда удобочитаем, пох. (?), 12:20 , 09-Окт-21, (80) Да чего далеко ходить Тут в соседнем треде все Народ гагаринский, свиньи, русс, Аноним (19), 13:47 , 09-Окт-21, (82) Дополню себя В след итерации есть шанс изменить ход , Аноним (19), 14:05 , 09-Окт-21, (84) Как не парадоксально, но послевоенный мир всегда ознаменовывается подьемом Как , Аноним (19), 11:11 , 09-Окт-21, (78) Ты не путай послевоенный мир и гибель пережравших смузи цивилизаций С 1 по 10 в, пох. (?), 12:06 , 09-Окт-21, (79) Вот ведь интересно Из раза в раз мы с тобой возвращаемся к этой теме Шли годы , Аноним (19), 13:53 , 09-Окт-21, (83) да нет, откуда Готские войны - банально жрать нечего Обоим сторонам Кто были , пох. (?), 14:12 , 09-Окт-21, (85) Правильно, но все это мотивировалось чем, тем, что у кого-то было не так Другой, Аноним (19), 14:34 , 09-Окт-21, (88) Хруст будет очень сложно протащить под деградацию , потому что он и так находит, Онаним (?), 11:08 , 09-Окт-21, (77) Ну всё правильного http головного мозга , Аноним (40), 18:58 , 08-Окт-21, (40) –3 Lighthttpd норм сервер , Аноним (58), 00:57 , 09-Окт-21, (58) –1 // Для отдачи статики норм Лайти для этого обычно применяют Закрываешь им или хдв, Аноним (19), 01:17 , 09-Окт-21, (59) +1 // Спасибо Мне для статики fascgi Просто хотелось убедиться, что у него нет реп, Аноним (27), 01:58 , 09-Окт-21, (60) –2 // Да он дырявый, ты не беспокойся , Аноним (66), 08:15 , 09-Окт-21, (66) +2 Нет, репутации дырявого за ним нет https www cvedetails com product 4762 Light, Аноним (19), 09:59 , 09-Окт-21, (71) +2 Тут скорее в скрипты смотреть Там дыр обычно больше , Аноним (19), 10:11 , 09-Окт-21, (73) Какие то извращенцы Зачем соваться блокировать 2Е в URI, кстати проделывая лиш, _kp (ok), 11:52 , 11-Окт-21, (90) +1 // Такой вот уровень программистов поколения растаманов , Аноним (7), 08:15 , 13-Окт-21, (92) 1,3,4,6,7,8,12,14,15,18,19,32,40,58,90

Сообщения

[Сортировка по времени | RSS]

14. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."	+1 +/–
Сообщение от Аноним (14), 08-Окт-21, 10:01
> …но упущена возможность двойного кодирования - при указании последовательности "%%32%65" сервер декодировал её в "%2e", а затем в ".", т.е. символы "../" для перехода в предыдущий каталог можно было закодировать как ".%%32%65/". Может всё-таки в тёмное место этот percent encoding пора, а? Юникот на дворе.
Ответить | Правка | Наверх | Cообщить модератору

	30. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."	+/–
	Сообщение от burjui (ok), 08-Окт-21, 12:39
	*deleted*
	Ответить | Правка | Наверх | Cообщить модератору

	31. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."	+1 +/–
	Сообщение от burjui (ok), 08-Окт-21, 12:40
	Вообще, конечно, пора, но это не отменяет того факта, что код декодирования писал слишком умный для самого себя человек.
	Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема