On Wed, 30 Nov 2005 14:06:16 -0300
"Ricardo Mun~oz A." <[EMAIL PROTECTED]> wrote:
> se podria decir lo mismo entonces del lenguaje C porque constantemente
> salen parches y actualizaciones de Linux (kernel), Apache, BIND, etc.
> que si no son aplicadas podrian permitir a un "intruso" entrar en
> tus servidores...
> el punto es que muchos eligen usar un CMS pero luego no se preocupan
> de actualizarlo, lo que en el fondo significa que no se justificaba
> el uso de un CMS sino de algo muchos mas simple de mantener...
El tema no son las "actualizaciones", es como trabaja el lenguaje por debajo.
> --
> Ricardo Mun~oz A.
> Usuario Linux #182825 (counter.li.org)
From [EMAIL PROTECTED] Wed Nov 30 14:26:48 2005
From: [EMAIL PROTECTED] (Alvaro Herrera)
Date: Wed Nov 30 14:21:32 2005
Subject: sitio hackeado
In-Reply-To: <[EMAIL PROTECTED]>
References: <[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>
Cristian Rodriguez escribió:
> 2005/11/30, Franco Catrin <[EMAIL PROTECTED]>:
> > seguramente lo seguiran
> > usandolo como PHP4.
> >
> por un tiempo, si.
> lamentablemtne aun hay _muchos_ servidores que tienen php4 y muchos de
> los cambios en php5 no son compatibles hacia atras.
Por eso mismo hubiera sido una decision mucho mas inteligente usar un
lenguaje decente desde el principio.
--
Alvaro Herrera http://www.amazon.com/gp/registry/DXLWNGRJD34J
"The eagle never lost so much time, as
when he submitted to learn of the crow." (William Blake)
From [EMAIL PROTECTED] Wed Nov 30 14:26:59 2005
From: [EMAIL PROTECTED] (Cristian Rodriguez)
Date: Wed Nov 30 14:22:17 2005
Subject: sitio hackeado
In-Reply-To: <[EMAIL PROTECTED]>
References: <[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]> <[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>
El 30/11/05, Ricardo Albarracin B.<[EMAIL PROTECTED]> escribió:
> On Wed, 30 Nov 2005 13:48:18 -0300
> Cristian Rodriguez <[EMAIL PROTECTED]> wrote:
>
> > me explayo entonces :
> >
> > para que (en el caso que haya una aplicacion vulnerable en tu
> > sistema),que SIEMPRE la puede haber, nigun software es perfecto,
> > apache junto con PHP te dan bastantes alterntivas para mitigar un
> > potencial daño.
>
> En eso estamos de acuerdo y a eso apuntaba, entre otras cosas.
>
> > uitlizando la directiva open_basedir de php , dentro del la
> > configuracion del virtual host puedes limitar el acceso de las
> > aplicaciones en PHP, a uno o mas directorios que tu decidas.
> > o sea, si tu servidor esta bien configurado lo que mencionas de "cat
> > /etc/passwd" no se puede hacer.
> >
> > para el ejemplo que diste, es claramente un problema de configuracion.
>
> La verdad es que eso es el resultado final,
y no importa el resultado final ???
>pero los metodos usados no se resuelven
> con un "open_basedir" de hecho estaba configurado de buena forma, el problema
> es
> bastante mas complejo y tiene que ver como interpreta PHP las sentencias y
> comandos
> dentro del lenguaje en si....
si tu quires cambiar eso, envia parches a los desarrolladores.
pero tu problema es claramente de administracion, no actualizaste el
CMS cuando correspondia, y estas culpando al "chancho" no al que " le
da afrecho".
--
Cristian Rodriguez.
"for DVDs in Linux screw the MPAA and ; do dig $DVDs.z.zoy.org ; done | \
perl -ne 's/\.//g; print pack("H224",$1) if(/^x([^z]*)/)' | gunzip"
