mod_security (Apache 2) est touché quant à lui par une vulnérabilité locale. Cette faille est causée par une erreur dans la manipulation des données générées par le serveur, ce qui pourrait être exploité via des fichiers PHP/CGI spécifiques afin d'exécuter des commandes avec les privilèges du serveur httpd.
Aller plus loin
- Faille Apache (K-OTik) (9 clics)
- Faille mod_security (K-OTik) (10 clics)
- Apache 2.0.48 / 1.3.29 (1 clic)
- mod_security 1.7.2 (3 clics)
# Re: Nouvelles vulnérabilités pour Apache 1.3.28 / 2.0.47 et mod_security 1.7.1
Posté par paparoot . Évalué à 4.
J'espère qu'il n'y a pas des tanches pr executer apache avec le root comme user ...
[^] # Re: Nouvelles vulnérabilités pour Apache 1.3.28 / 2.0.47 et mod_security 1.7.1
Posté par Jean-Yves B. . Évalué à 7.
[^] # Re: Nouvelles vulnérabilités pour Apache 1.3.28 / 2.0.47 et mod_security 1.7.1
Posté par paparoot . Évalué à 8.
Si si et j'ai même mis un `rm -rf /home` dans ma crontab pr éviter la tentation d'être un simple user . Rhaa comme c'est bon d'être le Big Boss parfois, tiens qu'est-ce que je vais pouvoir saccager aujourd'hui ? Oh, tiens, /var/spool/mail commence à grossir, faisons de la place, hop, je le cache dans /dev/null . Et vive les gros BOfH !
Soyons radicaux, mais soyons des radicaux libres !
Ps : t'as l'bonjour de Pierre et Marie Curie
[^] # Re: Nouvelles vulnérabilités pour Apache 1.3.28 / 2.0.47 et mod_security 1.7.1
Posté par duf . Évalué à 1.
[^] # Re: Nouvelles vulnérabilités pour Apache 1.3.28 / 2.0.47 et mod_security 1.7.1
Posté par Laurent Laborde (site web personnel) . Évalué à -2.
# Re: Nouvelles vulnérabilités pour Apache 1.3.28 / 2.0.47 et mod_security 1.7.1
Posté par kd . Évalué à 5.
et d'ailleurs, j'ai de toute façon désactivé tous les modules, parce que c'est plus sûr et je n'en ai pas l'usage.
Je n'ai gardé que les 3 nécessaires :
* mod_access,
* mod_log_config,
* mod_mime.
J'ai dû rajouté mod_headers aussi pour faire marcher PHP.
Enfin moins on fait marcher de trucs inutiles, moins il y a de risque, on ne le répètera jamais assez :)
# Concernant Apache
Posté par FRLinux (site web personnel) . Évalué à 6.
Toute cette tranche de ma_vie pour preciser qu'il aurait ete judicieux de preciser que les failles apache sont locales :
http://www.secunia.com/advisories/10096/(...)
Steph
# Nouvelle version 4.3.4 de PHP
Posté par a_jr . Évalué à 2.
http://www.php.net/ChangeLog-4.php#4.3.4(...)
(l'url de telechargement, tout le monde sait la trouver. Mais moins de gens vont voir le changelog. Verifiez le changelog, amis cliqueurs, l'url est ci-dessus ! )
Le bonjour chez vous,
Yves
# Re: Nouvelles vulnérabilités pour Apache 1.3.28 / 2.0.47 et mod_security 1.7.1
Posté par Encolpe DEGOUTE (site web personnel) . Évalué à 0.
[^] # Re: Nouvelles vulnérabilités pour Apache 1.3.28 / 2.0.47 et mod_security 1.7.1
Posté par pasPierre pasTramo . Évalué à 3.
Toutes les conneries que tu peux faire en C , tu peux les faire en C++. C'est sur qu'en utilisant new, les references etc on fait moins de betises, mais les problemes des buffers overflows viennent souvent de buffers de taille fixe et d'un manque de test sur les variables.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.