|
ru.nethack
- RU.NETHACK -------------------------------------------------------------------
From : Fedor Kudryashev 2:5020/4001.72 26 Jul 2003 16:19:20
To : Maksim Rusakevich
Subject : Apache 1.3.20
--------------------------------------------------------------------------------
24 Jul 03 11:37, you wrote to me:
FK>> Чегой-то я никак не припоминаю как так надо "нормально
FK>> настраивать" апач (не Russian) чтобы ему был пофиг Chunked
FK>> Encoding Buffer Overflow DoS...
MR> DoS - это не уязвимость апача, это уязвимость стека.
Здрав-ствуй-те.
Стек, слава богу, не вчера придумали. И процедуры, которые с ним работают -
тоже. А то, что писатели апача умудрились проверять длину чанка перед
копированием как signed, при том, что во всех остальных процедурах она идёт как
unsigned - так это их собственная ошибка, а не какого-то "стека".
Что ты вообще понимаешь под словами "уязвимость стека"?
MR> Еще скажи, что кнопка "ресет" является тоже уязвимостью апача.
Если есть способ нажать эту кнопку без согласия и ведома админа, используя
нестандартные методы обращения к апачу - то да, это уязвимость апача, а не
кнопки, матплаты или винды.
MR> А вот тут уже замучали с вопросом уязвимости апача. И с этой
MR> позиции ответ верный. Апач, у которого порезано при компиляции все
MR> неуязвим :)
Закоментировать ему Main() - и будет 100% неуязвим. 8-)))
Russian Apache, например, не подвержен вышеназванной уязвимости по одной простой
причине - он не поддерживает Chunked Encoding. 8-)))
Впрочем, это еще не значит, что он вообще неуязвим. 8-)
Fedor
--- GoldEd d2.50+
* Origin: -= MIPT Station =- (2:5020/4001.72)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
