0
Другие записи за это число:
2021/11/26 - Новости искусственного разума
<< предыдущая заметкаследующая заметка >>
26 ноября 2021
Критическая уязвимость: срочно обновите движок

Тут доброжелатели нашли в движке ахрененную дыру (стыдЪ & срамЪ). Дыра исправлена везде, где только можно, но частным владельцам движка настоятельно рекомендую накатить обновления. За почти 15 лет существования проекта это третья найденная критическая уязвимость такого масштаба.

<< предыдущая заметка следующая заметка >>
пожаловаться на эту публикацию администрации портала
архив понравившихся мне ссылок

Комментарии к этой заметке скрываются - они будут видны только вам и мне.

Оставить комментарий
Linux Safari Chrome
 Волгоград
6
0
Jgccyub vv
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
А чо было-то? Та дыра про которую я в курсе вроде на месте.
Windows Safari Chrome
 Самара
0
0
перепись2021
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Про какую?
Linux Safari Chrome
 Москва
2
0
Леонит Каганофф
Про пунктуацию.
Linux Safari Chrome
 Волгоград
0
0
Jgccyub vv
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Продемонстрировать?
Linux Safari Chrome
 Россия
0
0
Леонит Каганофф
Конечно, буду благодарен. И пояснить, если я тупой и не пойму.
Linux Safari Chrome
 Волгоград
3
0
Jgccyub vv
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Проверьте имя своего аккаунта.
Linux Safari Chrome
 Москва
1
0
Леонит Каганофф
Как мило.
Расскажете или так и оставим?
Linux Safari Chrome
 Волгоград
1
3
Brush off
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Ну, показывать где это не буду. Но могу дать подсказку, если угодно.
Linux Safari Chrome
 Москва
1
0
Леонит Каганофф
Почему?
Linux Safari Chrome
 Волгоград
2
1
Brush off
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Почему показывать не буду? Это вам домашнее задание, подумать почему.
Почему готов дать подсказку? Потому что люблю развлекаться. Подсказка будет не простая, но покажет куда копать.
Linux Safari Chrome
 Волгоград
3
0
Brush off
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Ну и логи посмотрите, не думаю что в 4 утра у вас много запросов
Windows Safari Chrome
 Санкт-Петербург
10
0
Михайлов
висят на сцене в первом акте
бензопила ружьё и ёж
заинтригован станиславский
боится выйти в туалет
Windows Safari Chrome
 Волгоград
1
0
Аыжтдор
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Смешно будет если окажется что логи у Леонида не пишутся.
Linux Safari Chrome
 Санкт-Петербург
2
0
oracular_oleg
Моя кредитка и паспортные данные не успели улететь в даркнет?
Windows Safari Chrome
 Волгоград
4
0
Аыжтдор
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
В смысле не успели? Они туда прямотоком идут.
Это не дырка это фича.
Windows Firefox
 Владимир
1
0
SPQR_Voldi
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Только не туда, а оттуда!
Windows Safari Chrome
 Санкт-Петербург
0
0
Михайлов
по udp/666
Windows Firefox
 Владимир
0
0
SPQR_Voldi
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Только не туда, а оттуда!
Windows Safari Chrome
 Санкт-Петербург
0
0
Михайлов
по udp/666
Linux Safari Chrome
 Санкт-Петербург
2
0
arctus не удаётся зайти под ником
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Простите, срочно обновить движок чего? :)
Windows Firefox
 Одесса
0
0
crispoid
Если у вас блог на бинонике, надо полагать, то обновить движок.
Linux Safari Chrome
 Санкт-Петербург
1
0
arctus не удаётся зайти под ником
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
А что такое биноник?
Linux Ubuntu Firefox
 Израиль
1
0
200-1.95M
Это один из пригородов Парижа
h t t p s : / / b i n o n i q . n e t /
Windows Firefox
 Владимир
0
0
SPQR_Voldi
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Туда ли ты зашёл?
Windows Safari Chrome
 Домодедово
9
0
id
Первое правило биноника: никому не говорить о бинонике.
Второе правило биноника: никому не говорить о бинонике.
Третье правило биноника: если у тебя биноник - обнови его!
Linux Safari Chrome
 Москва
1
0
Леонит Каганофф
Воистину так!
Linux Safari Chrome
 Москва
0
0
Леонит Каганофф
Нет, движок сайта Биноник обновляю я. Речь про частные сайты.
Linux Safari Chrome
 Москва
1
0
Леонит Каганофф
Если вы не знаете, о чем речь, вам точно ничего делать не надо.
Mac Safari
 Alexander Yanai Petach Tikva
4
0
braintunic
> вам точно ничего делать не надо

Ну хотя бы начинать беспокоиться уже можно?
Linux Safari Chrome
 Москва
3
0
Леонит Каганофф
Вы не Грета, зачем вам беспокоиться? Наслаждайтесь жизнью!
Windows Firefox
 Нижний Новгород
0
0
romul0
жизнь - боль. наслаждаться болью?! ну, такое...
Windows Firefox
 Alexander Yanai Petach Tikva
2
0
braintunic
> Вы не Грета, зачем вам беспокоиться? Наслаждайтесь жизнью!


Linux Ubuntu Firefox
 Владимир
0
0
Adamos
Боги! Эта помойка еще жива? Я почему-то был уверен, что ЭГ сдохла в собственных миазмах еще лет двадцать назад... когда ей уподобились центральные каналы ТВ.
Windows Safari Chrome
 Санкт-Петербург
1
0
Михайлов
Нет времени объяснять, срочно звони своему автомеханику!
Windows Safari Chrome
 Волгоград
10
0
Аыжтдор
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
За почти 15 лет существования проекта это третья найденная критическая уязвимость такого масштаба.
Неуловимый Джо всегда очень гордился своей неуловимостью!
Mac Safari
 Санкт-Петербург
0
0
TI_Eugene
Гадство, не я один такой умный... :-)
Теперь можно вносить мем "Неуязвимый Биноник"
Быстрое гугление по гитхабу не нашло ни кода биноника, ни багрепорт (в чем уязвимость), ни как оно исправлено.
Неуловимая уязвимость неуловимого движка. Хайлилайкли.
https://github.com/lleokaganov/binoniq
Linux Ubuntu Firefox
 Германия
6
1
Azimut
>нашли в движке ахрененную дыру (стыдЪ & срамЪ)
А раньше такие новости приходили только от космонавтов.
Linux Safari Chrome
 Россия
5
0
Andrey
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Грустно побрел в гараж искать дыру в движке.
Windows Firefox
 Санкт-Петербург
0
0
Саша
когда патч на гитхабе?)
Linux Safari Chrome
 Москва
3
0
Леонит Каганофф
А в чем мне смысл выкладывать описание уязвимости на Гитхабе? Чтобы ею могли воспользоваться для взлома тех пользователей, которые установили мой движок? Вот блять спасибо.

Я не веду разработку в Гитхабе - в моей ситуации, когда разработку ведёт один человек и никто ему не помог за все годы существования кода на Гитхабе, нет смысла поддерживать Гитхаб в актуальном состоянии.

В движке изначально свой онлайн веб-инсталлятор, он позволяет админу накатить изменения прямо со своего мобильника, не занимаясь заходами на сервер и копошением в консольных строках.

Вы сами пользуетесь Windows, постоянно накатываете обновления безопасности. Их на Гитхабе нет. Равно как не появляется на Гитхабе описаний уязвимости для Андроид, iOS, Mac и т.п.
Mac Safari Chrome
 Харьков
4
0
dmitryKh1
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Эммм.. У тебя там два pull request'a висят еще аж с 19 года. Так кто на что забил - это еще надо два раза посмотреть :)
Linux Ubuntu Firefox
 Нижний Новгород
0
0
rekcuFniarB
> Равно как не появляется на Гитхабе описаний уязвимости для Андроид

Фиксы уязвимостей открытых частей системы (ядро Linux и прочее) публикуются в репозиториях, будь то Гитхаб или другой официальный Git репозиторий. Другое дело что то что Гугл разрабатывает сам, в паблик выпускает с некоторой задержкой.
Linux Safari Chrome
 Москва
1
0
Леонит Каганофф
Ну вот и я когда-нибудь с большой задержкой обновлю Гитхаб, но общедоступного описания былой уязвимости там не будет по понятным причинам - я не имею права делать такую подлость людям, которые пользуются моим движком.

По той же причине, кстати, уже много-много лет из инсталлятора убрана кнопка "похвастаться установкой", которая на заре эволюции отправляла (по воле админа) ко мне на сайт информацию, где ещё установлен движок. Но такого списка не должно вестись нигде. Именно по причине, что может открыться уязвимость, и под угрозой окажется сразу весь список.

Надо всё-таки думать о последствиях больше, чем о детских играх "в свободный софт" и иметь ответственности за судьбу доверившихся тебе коллег чуть больше, чем желания удовлетворить свое или чужое праздное любопытство (а то и злые намерения). Поэтому естественно никаких описаний уязвимости не будет, и меня искренне удивляют люди, которые об этом спрашивают - не имея при этом вообще никакого отношения к нашему движку.
Linux Ubuntu Firefox
 Нижний Новгород
2
0
rekcuFniarB
Кстати, о качестве кода. Я вот всего лишь нажал Escape при открытом попапе, а мне тут же спалило структуру директорий :)
Она, впрочем, и ранее палилась, например когда в футере скрипт, выводящий список книг иногда ломался. Это мелочь конечно, но в серьёзной разработке очень не приветствуется такое.
Linux Safari Chrome
 Москва
3
0
Леонит Каганофф
За информацию спасибо, если будет время, посмотрю. Но я не вижу ни одной причины скрывать структуру директорий. От кого и зачем?

Во всех системах passwd лежит в директории etc, а сайт в большинстве случаев лежит в /var/www/html, и хули там скрывать сей банальный факт? :)

Вообще удивительно полярные комментарии в этой заметке. Одни пишут, что я должен опубликовать все подробности, что была за уязвимость и как ее можно половчее использовать. Другие рекомендуют завесить грифом строжайшей тайны факт расположения сраного lang.ru в папке /home/lleo/www/module :)
Windows Safari Chrome
 Смоленск
0
0
Иван____
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Чтоб понять что за уязвимость надо скачать непропатченный движок с гита и пропатченный, после чего сравнить. И после двухнедельного копания кода можно будет разобраться в чем именно была дыра. Собственно поэтому полезно обновить то, что выложено на гите. Но только если гит позволяет удалить старую версию...
Linux Safari Chrome
 Россия
0
0
Леонит Каганофф
Полезно кому? Злоумышленнику? Владельцу движка полезно нажать кнопочку "обновить".

Гит двухлетней давности, в движке произошло миллион мелких изменений и правок.
Mac Safari
 Германия
2
0
karash_I
А где "правда"?
Если злоумышленник найдёт уязвимость и изменит нужные ему файлы, а владелец движка нажмёт кнопочку "обновить"?
Мне кажется, что правда должна быть в каком-то репозитории, где можно отследить версию/историю файлов.
Linux Ubuntu Firefox
 Владимир
3
0
Adamos
> Тут доброжелатели нашли в движке ахрененную дыру

ОДНУ?!

> стыдЪ & срамЪ
Linux Safari Chrome
 Москва
5
0
Леонит Каганофф
Я тут так подумал: у меня довольно много знакомых, имеющих свои сайты или аккаунты на разных движках от ВордПресс до ВКонтакта. За последние 20 лет практически каждый из них хоть раз был взломан с неприятными последствиями - кража пользовательских данных, удаление материалов, распространение вирусов в коде страниц, дефейс, шантаж. В проектах, построенных на моем движке, за 20 лет таких случаев не было. Можно рассказывать про неуловимого Джо (хотя многие проекты моих знакомых гораздо более неуловимые) или выдумывать объяснения, но факт есть факт: на практике риск взлома и проблем с сайтом в разы меньше. Вне зависимости от причин ;)

Так что можете иронизировать сколько угодно над количеством найденных за 21 год уязвимостей, но не с моего сайта уплывали полные базы пользователей с паролями за 20 лет, не на моем сайте висели заглушки "пусть админ со мной свяжется о цене за возврат доступа" и не на моем сайте сами собой распахивались на загрузку окна с exploit.pdf Все это происходило в проектах больших команд и серьезных профессионалов.
Linux Ubuntu Firefox
 Нижний Новгород
5
0
rekcuFniarB
Вордпресс в топах по уязвимостям в основном из-за того что вебмастера, делающие сайты на этом движке, любят ставить кучу левых плагинов от кого попало, а качество таких плагинов зачастую низкое, пишется дилетантами. Плюс там тоже владельцы сайтов не следят за обновлениями.

Но сравнивать движки без учёта популярности не очень корректно. Естественно чем больше распространён движок, тем больше интересующихся дырами в нём. Искать дыры в движке, на котором работает полтора сайта, мало кому интересно, когда можно найти дыру в популярном плагине для Вордпреса и тысячи сайтов в твоих руках.
Linux Safari Chrome
 Москва
1
1
Леонит Каганофф
В плане безопасности мне важен исключительно конечный эффект. Какими методами он достигнут и какими умными теориями объяснен задним числом - не принципиально.

Если Security through obscurity работает эффективнее всего, то я буду использовать Security through obscurity. Тем более, это несёт в себе немало дополнительных функций и плюшек, дико полезных в жизни и саморазвитии.
Linux Ubuntu Firefox
 Нижний Новгород
1
0
rekcuFniarB
Obscurity оно только для автора: он может годами строить иллюзии что о его слабостях никто не знает. Тогда как в открытом коде уязвимость давно бы уже кто-то нашёл и автору пришлось бы быстро пофиксить. Такое вот средство от лени.

Ещё есть такое явление: разработчикам закрытого кода не принято сообщать об уязвимостях, тогда как у открытого кода больше шансов.
Linux Safari Chrome
 Россия
1
0
Леонит Каганофф
Это сказки.

Код у меня всегда был открытый и далее более: вы можете просмотреть не просто код, а любой (почти) файл живого движка прямо на его сайте. Это штатная опция.

Что касается Гитхаба, то на Гитхабе код присутствует с 2016, пусть и не самый новый, но уязвимость в нем была, а никто из читателей Гитхаба почему-то о ней не сообщил. Сообщил человек, подозреваю, не связанный с Гитхабом.

Так что ваши теоретические выкладки совершенно противоречат по крайней мере моему проекту с его 20-летней историей.
Linux Ubuntu Firefox
 Нижний Новгород
0
0
rekcuFniarB
> Сообщил человек, подозреваю, не связанный с Гитхабом.

Т.е. obscurity не сработало?
Linux Safari Chrome
 Москва
2
0
Леонит Каганофф
Видимо оно и сработало: уже третий раз: каждая из трех серьезных уязвимостей была обнаружена читателем дневника и сообщена мне. За что им преогромное спасибо.
Linux Safari Chrome
 Россия
0
0
Онанимус
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Почему же тогда в мозилле с её десятками миллионов донельзя открытых строк кода с каждым десятилетием дыр всё больше?
Linux Ubuntu Firefox
 Нижний Новгород
0
0
rekcuFniarB
Каких дыр? Когда последний раз была какая-то серьёзная 0-day уязвимость, позволяющая удалённо выполнить произвольный код или получить доступ к информации?

А если речь вообще о любых ошибках, то это естественно для крупного и всё ещё разрабатывающегося проекта. Разработка без ошибок не бывает в принципе.
Linux Ubuntu Firefox
 Владимир
8
0
Adamos
> Тогда как в открытом коде уязвимость давно бы уже кто-то нашёл

Карго-культ в чистом виде.
Опенсурс - это социальное явление, а не техническое. Без сообщества, которое было бы включено в разработку, никакие его плюшки не работают. Как бы вы ни размахивали его инструментами.
А когда у кода один разработчик и десяток пользователей, его открытость не играет вообще никакой роли.
Linux Ubuntu Firefox
 Нижний Новгород
3
0
rekcuFniarB
> Без сообщества, которое было бы включено в разработку

С закрытой моделью разработки этого быть и не может. Я принципиально не стал бы пользоваться проектом, авторы которого сами не уверены в своём коде и вынуждены защищаться с помощью obscurity.
Linux Ubuntu Firefox
 Владимир
4
0
Adamos
Вообще-то вы прямо сейчас это делаете, сидя на этом сайте.
И я уверен - как только вы свяжетесь с Леонидом насчет кодревью и латания дыр, он все-таки найдет полчаса, чтобы освежить код на Гитхабе.
А вот делать это ради того, чтобы прилетели какие-то мифические тысячи глаз, готовые следить за его кодом, ему как-то даже не к лицу.
Linux Ubuntu Firefox
 Нижний Новгород
2
0
rekcuFniarB
> Вообще-то вы прямо сейчас это делаете, сидя на этом сайте.

Когда речь идёт о пользовании движка, то имеется в виду использовании его в своём проекте, а не какие-то комменты в блоге.
А если вдруг тут и взломают сайт так что сольют всю базу, то это вообще пофиг, кроме email ничего личного тут не хранится.
Linux Safari Chrome
 Москва
0
0
Леонит Каганофф
Я замечу, что у меня код изначально открыт. Каждый файл живого движка доступен для обозрения, пример:

https://lleo.me/dnevnik/install?site_mod/CHAT.php|
Windows Safari Chrome
 Волгоград
0
0
Аыжтдор
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
А как узнать список файлов?
Linux Ubuntu Firefox
 Владимир
2
0
Adamos
Да, самопис в интернете - "тень для зла".
Боты его не ломают - нерентабельно это, разве что спамом засрут, но с этим-то приходится бороться где угодно.
Правда, я бы не стал называть это "безопасностью".
Просто потому, что вместо коммерческого взлома можно однажды обнаружить, что через одну из дыр совершенно случайно навалило прямо на страницы.
Или так же случайно выяснится, что бэкдор на сайте все эти годы исправно работал, просто его никто и не замечал. А сервер, на котором крутится движок, давно является частью ботнета...
Linux Safari Chrome
 Россия
1
0
Онанимус
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Когда я пару лет назад решил познакомиться с вордпрессом, наткнулся на дыру в первом же скрипте, которая не позволила мне задать мой любимый пароль доступа к базе данных (он начинался на кавычку или ещё какой спецсимвол). Я счёл этот факт достаточно красноречивой иллюстрацией общего качества кода.
Windows Safari Chrome
 Украина
4
0
anonymouse1
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
> не на моем сайте висели заглушки "пусть админ со мной свяжется о цене за возврат доступа"
Было, было такое :)
(правда потом выяснилось, что это сам ЛЛео и был)
Linux Safari Chrome
 Москва
1
0
Леонит Каганофф
Hacked by MeteO ;)
Windows Safari Chrome
 Домодедово
3
0
id
Просто взлом твоего сайта не имеет коммерческих перспектив: тебя даже на один биткойн хрен разведешь...
:)
Linux Ubuntu Firefox
 Москва
1
0
Леонит Каганофф
То ли дело взлом сайта http://chekmaev.com !
Linux Safari Chrome
 Москва
1
0
никто не я
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
PHP?
Linux Safari Chrome
 Москва
1
0
Леонит Каганофф
Не принципиально. Надо зайти браузером в /install и нажать там кнопку INSTALL - Check Update.

всего комментариев: 91

<< предыдущая заметка следующая заметка >>