[Comm] Re: XSpider 6.5

Ср Фев 19 04:03:27 MSK 2003

On Tue, Feb 18, 2003 at 02:20:34PM +0600, Denis G. Samsonenko wrote:
> Вот часть вывода:
> ---------------------
> - порт 80/tcp
>   сервер HTTP  : Apache/1.3.27 (ALT Linux/alt13sdg) PHP/4.1.2/ALT rus/PL30.16  >>>
> ...
>   подозрение на существование уязвимости

пусть проверят

>   удаленное выполнение команд  :::::
> описание уязвимости:
>   This vulnerability could be used by a remote attacker to execute
>   arbitrary code or crash PHP and/or the web server.
> Solution : Upgrade.
> Patch: http://www.php.net/downloads.php

и что -- вот этот крап, который только что опять чинили?

я бы этих "админов" заставил ряд патчиков-то из этого 4.1.2 носом
по строчке ;-E

> - порт 22/tcp
>   сервис SSH     - Security Shell
>   SSH-1.99-OpenSSH_3.1p1  >>>
> ...
>   подозрение на существование уязвимости
>   командная строка с правами root  :::::
> описание уязвимости:
>   There is a flaw in this version that can be exploited remotely and
>   allows anyone to, gain root remotely on this host. Version 3.3 is
>   affected only if UsePrivilegeSeparation is disabled.

ткнуть носом в /etc/openssh/sshd_config насчет болячек старых
sshd, до этого приложить 3.4p1-alt1 из updates все же.

> Solution : Upgrade.
> Patch: http://www.openssh.org
> --------------------------------
> 
> Стоит у нас Мастер 2.0, все апдейты, + апач-1.3.27 из сизифа,
> пересобранный для мастера.

если все -- вывод по :22 старый.

> Я первый раз этим делом занимаюсь, поэтому ещё не знаю всего,
> что надо для сервера.

они, видимо, подходят лениво-шаблонно.  что тоже, впрочем, метод.

коротко -- здесь все достаточно сурово патченое на обсуждаемую
тему, и судить исключительно по "цифирькам" и сканерам, которым
мозгов не положено -- неправильно.

впрочем, если "в первый раз" -- то таки правильнее by default :)

удачи!

-- 
 ---- WBR, Michael Shigorin <mike на altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/