sql injection plesk [quasi tutte le versioni...]

[FlameNetworks]

Ok, quando vieni a fare le installazioni ed il porting?

Non è che detesti CentOS (che fa i suo (s)porco lavoro sui VPS) però non voglio abbandonare Debian.
Già quando ho dovuto lasciare FreeBSD (perchè quelle cacchine di Parallels decisero di non supportarlo più) mi venne un coccolone.

[DonChisciotte]

Ok, quando vieni a fare le installazioni ed il porting?

lo sai che sono sempre a disposizione, basta che chiedi

Non è che detesti CentOS (che fa i suo (s)porco lavoro sui VPS) però non voglio abbandonare Debian.
Già quando ho dovuto lasciare FreeBSD (perchè quelle cacchine di Parallels decisero di non supportarlo più) mi venne un coccolone.

cPanel lo fai andare con freebsd, anche se ancora per poco :P

PS: io sto cercando di spostare varie cose su FreeBSD ma incontro non poche difficolta', maledetti debianari!

[EvolutionCrazy]

Mi correggo, sono in plaintext. Anche nella release 10 è così.

Lo è solo dalla release 10 in poi, nella 9 è in chiaro.

dalle dichiarazioni ufficiali di plesk la password di admin (e il file .psa.shadow) non sono stati a rischio per questa vulnerabilità specifica... sono confidente :P

[FlameNetworks]

lo sai che sono sempre a disposizione, basta che chiedi

Ne parliamo con calma, ho anche un altro paio di cose da dirti.

cPanel lo fai andare con freebsd, anche se ancora per poco :P

Peccato...

PS: io sto cercando di spostare varie cose su FreeBSD ma incontro non poche difficolta', maledetti debianari!

Chi te lo fa fare, pensa alla salute!

[DonChisciotte]

Ne parliamo con calma, ho anche un altro paio di cose da dirti.

ahah ok

Peccato...

beh, potresti scrivere al supporto di cpanel e capire se hanno intenzione di sviluppare per freebsd 9, sul sito ci sono solo gli EOL...

Chi te lo fa fare, pensa alla salute!

proprio perche' penso alla salute che vorrei farlo sai, da buono slackwarista quale sono ho la tentazione di beastie... :P

[Portabile84]

Si, il fatto che questa vulnerabilità sia presente in praticamente tutte le versioni del plesk è da brivido, però credo che un minimo di responsabilità la si debba dara anche agli hoster che ancora oggi offrono soluzioni che sfruttano queste versioni. Non parlo solo di hosting italiani ma anche stranieri.

Per nostra fortuna ogni giorno abbiamo una persona che ci tiene aggiornati i nostri tre server, però devo essere sincero... non prendetevela, ma secondo me la fate più pesante di quello che è in realtà.

Basta aggiornare e stare aggiornati...

E' vero che avere un server dedicato a noleggio o che altro di più avanzato non è come avere un hosting low cost, però dai... non è nemmeno così difficile da tenere aggiornato e quanto più sicuro. Se uno vuole bucare l'hosting low cost lo fa senza problemi, se vuole bucare un server lo fa... dovremo quindi stare lontani da internet? No dai...

[EvolutionCrazy]

portabile84 non hanno ancora inventato la macchina del tempo... ok gli aggiornamenti... ma se te l'hanno bucato prima degli aggiornamenti cosa ti cambia aver aggiornato successivamente o no?

pensa per esempio a quanto successo in questi giorni:
http://aluigi.altervista.org/adv/termdd_1-adv.txt

vulnerabilità trovata il 16 May 2011 ... fixata il 13 marzo 2012...

[Portabile84]

Si ovvio, d'accordissimo su questi rari casi, ma alla fine questo è il software... ricordo alcuni insegnamenti: nessun software è perfetto.

Questo per dire che alcune vulnerabilità vengono individuate a distanza di molto tempo ma spesso, quelle che causano più problemi, non sono tanto quelle di questo genere ma quelle minori. Per questo dico che un aggiornamento quasi quotidiano, uno studio dei log etc. può essere più che sufficiente per stare un po' tranquilli.

Poi credo che in questi casi può essere sempre utile la regola: tutto ciò che è aperto può essere un problema, ciò che è chiuso è tranquillo.

[FlameNetworks]

Il discorso sicurezza è un pò più complesso di quanto possa sembrare. Ci sono in ballo interessi (economici e politici) fortissimi.

Esiste un "mercato nero" degli exploits 0day (Darknet è uno di questi) in cui è piuttosto semplice rimediare (se riesci ad entrare nelle loro grazie) un remote root per SSHD, IIS, etc...
Chi ci sarà mai in questi ambienti? Esperti di sicurezza, aziende che producono software commerciale, servizi segreti, etc...

Sulle tempistiche di rilascio delle patches c'è molto da dire, basti pensare che esistono ancora oggi migliaia di sistemi IRIX che si bucano con il telnetd overflow e moltissimi sistemi SunOS soggetti al remote fingerd.

Ciao,

F.

[EvolutionCrazy]

esattamente

Consiglio una bella lettura di questo:
http://aluigi.org/adv/ms12-020_leak.txt
riferita alla gravissima vulnerabilità resa pubblica qualche giorno fa:
http://technet.microsoft.com/en-us/s...letin/ms12-020

il file leaked dicono fosse datato novembre 2011.............

[DonChisciotte]

Questo per dire che alcune vulnerabilità vengono individuate a distanza di molto tempo ma spesso, quelle che causano più problemi, non sono tanto quelle di questo genere ma quelle minori.

beh in questo caso, pare che parallels sapesse della vulnerabilita' e che non abbia fatto nulla fino a che non sia uscita fuori.
forse sarebbe stato sufficiente fare delle patch, senza dover fare l'upgrade di tutto plesk. pero', chissa' perche', la cosa e' rimasta un po' sotto silenzio...

Per questo dico che un aggiornamento quasi quotidiano, uno studio dei log etc. può essere più che sufficiente per stare un po' tranquilli.

beh, non credo che il tuo sistemista aggiorni i 3 tuoi server quotidianamente: dipende dal tipo di aggiornamento, dipende dal software che devi aggiornare. non e' che stai li' ad aggiornare mysql appena esce una versione nuova, magari sono delle feature che a te non interessano ed il gioco dell'upgrade puo' non valere la pena.

ciao

[Portabile84]

Ciao DonChisciotte,
si infatti ho solo scritto che un sistemista che pago segue questa parte che per me è arabo se non per qualche intervento che comunque riconosco essere basilare e non sufficiente per definirsi sistemisti... ad ogni c'è una persona che quotidianamente tiene sotto controllo i server.

Sicuramente non lavorerà tutti i giorni sui nostri server, sicuramente non lavora solo per noi però il mio usare la parola quotidianamente era da riferirsi a tutto ciò che c'è dietro un server e quindi le necessità di tenersi aggiornati non solo tenere aggiornato il software di un server che quello riescono a farlo un po' tutti, basta lanciare l'update ed il pacchetto che si vuole aggiornare e non è che sia così difficoltoso... non ci vuole sicuramente un genietto dei server per farlo