- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
А что никто не упоминает о уязвимости ISPmanager Business, когда пользователь может получить права администратора сервера через редактирование БД?
blg, Ничего, что её уже обновили?
blg, Ничего, что её уже обновили?
Думаете нигде не успели воспользоваться? Дырища знатная.
А что в этом плохого?
Не давайте тогда клиентам доступ к крону и возможности запускать cgi приложения написанные на питоне, перле и т.п., раз так боитесь.
А разницы между запуском из консоли и через веб правда не видите?
Дырища знатная.
Ага, кто-то еще тут недавно писал о том, что платные продукт (речь шла о ISPmanager) значительно лучше бесплатных в плате безопасности (той же VestaCP) :)
Единственное, что замечаю, это скорость исправления проблем, но сами проблемы безопасности в платных продуктах бывают еще "круче" :)
В кратце прочитал, а в чем собственно уязвимость то? В чтении файлов, которые доступны для чтения всем? Полный доступ в /boot ? - на дефе не может такого быть, это скорее кривые руки админов.
Я вам даже больше скажу, на деф. установке исп - prefork, который спокойно позволяет читать файлы соседей по хостингу. Ну и через nginx тоже можно читать чужие файлы ;)
Но видимо для этого сначала требуется получить возможность записи в конфиг апача или nginx ?