|
ru.internet.security
- RU.INTERNET.SECURITY ---------------------------------------------------------
From : Dmitry S. Rzhavin 2:5020/400 03 Oct 2001 18:37:37
To : Serguei E. Leontiev
Subject : Re: Попрощайтесь с IIS! Hаш комментарий к событиям
--------------------------------------------------------------------------------
"Serguei E. Leontiev" wrote:
>
> Здравствуйте,
> "Evgueni Gavrilov" <Evgueni.Gavrilov@p530.f1.n5004.z2.fidonet.org> wrote in
> message news:1015873903@f1.n5004.z2.fidonet.ftn...
> > Tue, 02 Oct 01 12:18:12 +0700 dima@rt.ru написАл:
> >
> > >> И могу Вас заверить, что на то чтобы написать "не детского" червя, и на
> > >> Apache, и на iPlanet, и на IIS, потребуется меньше недели сроку, так
> то:)
> > >> См. списки ошибок по всем этим продуктам :)
> > drr> ой, а интересно было бы посмотреть... Может, ради интереса,
> > drr> продемонстрируете
> > drr> червя для apache? За точку отсчета можно взять сегодня. То есть через
> > drr> неделю
> > drr> провести тест на апаче, датированном 2.10.01. Вот только боюсь, что
> ^^^^^^^!
>
> То есть, Вы заранее согласны с тем, что, на пример, Sun гонит "полуфабрикат"
> до сих пор предустанавливая Apache 1.3.12 на свои Solaris-ы :)
нет, я взял текущий релиз. Думаю, ломать правильно отпатченный код будет
еще сложнее. Можно взять любую версию, в которой нет известных на данный
момент дыр. Я просто предложил версию, заведомо удовлетворяющую этому
критерию. В Вашем заявлении был назван срок: неделя. Вот давайте (если,
конечно, Вам это интересно), назначим дату начала эксперимента, возьмем
свежий снап apache, и через неделю посмотрим на успехи.
>
> > drr> работа
> > drr> будет только на интерес...
> > щас он скажыт шо без оплаты предварительной ничего не будет делать *8-)))
>
> Оплата, конечно желательна (по крайней мере совершенно ясны основания для
> вбухивания усилий в подтверждение сравнительно очевидных положений:)
к сожалению, я не в праве выделить часть денег даже на оплату услуг
проверки уровня безопасности, а своих по-просту жалко. Просто не для
того мне их платят :)
>
> Hо главное не в ней, а в том что бы соблюсти правильную процедуру
> исследования образца. Hужно, что бы один подготовил разумный образец для
> распространения, а другой его ломал. В частности, Apache датированного
> 2.10.01 просто нет.
>
> Поясню, скажем тот же "Code Red" эксплуатировал не ошибку самого IIS, а
> ошибку "службы индексации", которая имела HTTP интерфейс. Так что, в
> принципе, можно обсудить тестирование какого либо готового комплекта
> ОС+сервер+скриптовая машинка+?СУБД?+... Вы уж только согласуйте кто, что, на
> чём и зачем (ну это, что бы усилия не уходили в пустоту).
>
не проблема
FreeBSD, снап на дату начала эксперимента, в тот же день cvsup портов
и сроим из портов apache. Запускаем. Конфигурация - ssi, cgi, -indexes
-followsymlinks. Если Вы согласны, параметры системы, ключи apache и
флаги конфигурации можно уточнить.
--- ifmail v.2.15dev5
* Origin: Rostelecom (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
