Re: [FUGSPBR] Correção / atualização urgente
Eduardo Alvarenga
eduardo-kw-fugspbr.1acd40 em thrx.org
Qua Jun 16 09:15:38 BRT 2004
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
On Tue, 15 Jun 2004, Nilson Debatin wrote:
> Coloque um servidor web com cgi ou php habilitado e você verá
> facilmente esta vulnerabilidade sendo explorada.
>
> shell não quer sempre dizer um "/bin/sh" -- qualquer coisa
> que execute um shell é válida.
>
> E você é louco o suficiente pra rodar um servidor php que permita
> a execução de binários do sistema? Se és então não se preocupe com
> esse problema do travamento, e sim os local root exploits, root kits,
> e usuários rodando todo tipo de coisas no seu servidor. ;)
safe_mode() no php não é suficiente para evitar execução arbitrária
de códigos.
> O que eu disse na minha mensagem anterior se refere a um servidor
> medianamente seguro e que apenas o admin (ou admins) tenham acesso.
Ah sim, ai você pode rodar até Windows nele.
Grande abraço,
--
Eduardo A. Alvarenga
Analista de Suporte
Centro Estratégico Integrado / SEGUP-PA
(91) 259-0555 / 8116-0036
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.2 (OpenBSD)
iD8DBQFA0DnspKK2uJoGDlMRAgLKAKCFYKS6PZDoghCBQ0f4wyE+Fb6zhQCeO5Ee
K+6UCnGYmNJjpbl8QZgc8ng=
=yuKx
-----END PGP SIGNATURE-----
_______________________________________________________________
Para enviar um novo email para a lista: fugspbr em fugspbr.org
Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
Mais detalhes sobre a lista de discussão freebsd