fywbnhec Опубликовано 23 января, 2005 Жалоба Поделиться Опубликовано 23 января, 2005 Ситуация следующая: я купил redhat enterpises linux 3 ws. Сделал полный up2date, обновилось ядро и остальные программы. Но вот непонимаю я, xspider говорит, что у меня по прежнему стоит openssh старый и уязвимый и openssl. Я делаю rpm -qa и смотрю на пакеты и вижу, что пакеты имеют название, например openssh-server-3.6.1p2-33.30.3 openssh-clients-3.6.1p2-33.30.3 openssh-3.6.1p2-33.30.3 и это самые последние версии пакетов в up2date. Но что это за пакеты? 3.6.1 openssh? так ведь это допотопное дрявое старье. И если это так, то почему же в up2date ничего нет и почему же тогда эти пакеты были собраны в ноябре 2004 года, а не 2 года назад... Но если редхат сам собирает пакеты, то почему же тогда xspider говорит, что у меня старый openssh с дырами и надо обновить до новой версии. Может быть xspider просто говорит это потому, что он просто видит 3.6.1 и все, что ниже 3.7 он отфутболивает и сразу говорит это? Я замаялся, может кто знает, какую-нибудь аналогичную xspider программу в демо-режиме посмотреть что она скажет. Завтра обращусь в саппорт редхата. Я не понимаю абсолютно ничего. Может кто из вас сталкивался с этим? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
SignFinder Опубликовано 23 января, 2005 Жалоба Поделиться Опубликовано 23 января, 2005 up2date обновляет не до последних версий пакетов, а обновляет те пакеты, в которых найдены уязвимости, и если есть возможность просто пересобрать пакет с исправлениями, то так и делается. Цитата: так ведь это допотопное дрявое старье. не знаешь не говори. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
fywbnhec Опубликовано 23 января, 2005 Автор Жалоба Поделиться Опубликовано 23 января, 2005 так я и говорю о том, что у меня все установлено из всего что возможно в сервисе redhat network, но xspider просканировав этот компьютер говорит, что openssl дрявый напару c openssh. Отсюда я и хочу выяснить, кто виноват: глюки xspiderа (что странно было бы) или глюки redhat разработчиков (что еще более странно). Мои полукривые руки здесь уж точно не при чем. up2date на автомате все сделал, я никаких усилий не прикладывал к этому. я для интереса решил сейчас запустить xspider на провайдера у которого сайт держим. Так он у них говорит, что возможно dos-атака на их днс. Спать не могу, не понимая, толи серьезно все так плохо, толи это глючит программу так. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
fywbnhec Опубликовано 23 января, 2005 Автор Жалоба Поделиться Опубликовано 23 января, 2005 www.LinuxPortal.ru можно с полпинка чпокнуть по данным xspider, поскольку и openssh в жопе и bind и ... Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
SignFinder Опубликовано 24 января, 2005 Жалоба Поделиться Опубликовано 24 января, 2005 производители сканеров в базе держат общую информацию - типа в версии ssh 3.6 найдена дыра. А то что есть разные сборки этой версии (старые где дыра есть и новые, где эту дыру закрыли патчем, а не выпуском новой версии) эти сканеры не колышет. Да и трудно уследить за всеми производителями дристрибутивов. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
fywbnhec Опубликовано 24 января, 2005 Автор Жалоба Поделиться Опубликовано 24 января, 2005 Так что же они так пугают ламеров-админов... Я уже и в support redhat письмо отправил с линьком на эту программу и самим разработчикам программы написал письмо, что может у них все-таки ошибка. Вероятно этот сканер для виндузового сервера, а с юниксами не всегда хорошо выходит. У linuxportal.ru он еще нашел: Возможно выполнение атаки "SQL инъекция". "SQL инъекция" – способ нападения на базу данных в обход межсетевой защиты. В этом методе, параметры, передаваемые к базе данных через Web приложения, изменяются таким образом, чтобы изменить выполняемый SQL запрос. Например, добавляя символ (‘) к параметру, можно выполнить дополнительный запрос совместно с первым. Нападение может использоваться для следующих целей: 1. Получить доступ к данным, которые обычно недоступны, или получить данные конфигурации системы, которые могут использоваться для дальнейших нападений. Например, измененный запрос может возвратить хешированные пароли пользователей, которые в последствии могут быть расшифрованы методом перебора. 2. Получить доступ к компьютерам организации, через компьютер, на котором находится база данных. Это можно реализовать, используя процедуры базы данных и расширения 3GL языка, которые позволяют доступ к операционной системе. Запрос для выполнения SQL инъекции: Все детали этой уязвимости (имя скрипта, строка запроса и ответ сервера) отображаются только в коммерческой версии . Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Legalizer Опубликовано 24 января, 2005 Жалоба Поделиться Опубликовано 24 января, 2005 Вам бы для полного щастья еще почитать журнал "Хакер" Там тоже очень много всякого рода "информации". Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
SignFinder Опубликовано 24 января, 2005 Жалоба Поделиться Опубликовано 24 января, 2005 Цитата: Так что же они так пугают ламеров-админов... ламер и админ это противоположные понятия, так что или то или то. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.