ls -1TörténelemHUP adás-vételNépszerű témákNépszerű fórum témákHardverAjánlott böngésző Linux Weekly NewsFreeBSD Project NewsOpenBSD Journal |
SquirrelMail 1.4.13 - a régebbi kiadásokba idegen kódokat csempésztekA SquirrelMail 1.4.11 és 1.4.12 felhasználóinak mielőbb érdemes frissíteniük, mert kiderült, hogy ezeket a csomagokat (valószínűleg) az egyik maintainer feltört account-ján keresztül rosszindulatú támadók módosították. A dologra úgy derült fény, hogy a 1.4.12-es csomagok MD5 sum-ja nem egyezett meg az aktuális csomagéval. A vizsgálat során kiderült, hogy a kiadás után a csomagot módosították, és abban olyan idegen kódokat helyeztek el, amelynek lehetővé teszik, hogy a támadók a módosított SquirrelMail-en keresztül az áldozat gépére idegen kódokat telepítsenek és futtassanak. Mivel nem csak az 1.4.12-es, hanem az 1.4.11-es csomagot is piszkálták, a projekt úgy döntött, hogy a kavarodás elkerülése érdekében kiadják az 1.4.13-as verziót. Érdemes azonnal frissíteni azoknak, akik a fent említett verziókat futtatják a SquirrelMail-ből. Bővebb infók a projekt weboldalán.
»
|
KeresésNavigációBelépésHupWikiÁllásajánlatokHWSWFriss blogbejegyzésekHUP napi hírlevélLegfrissebb HUP videókLegfrissebb HUP képekLegfrissebb HUP dokumentumokSzavazásMit tudsz a B-tree struktúráról? Részletekbe menően ismerem a felépítését, funkcióját, határait és felhasználását. 10% Kevésbé ismerem, mint az első pontban, de hozzá tudok szólni a témához. 18% Használom, de nem ismerem minden részletét. 4% Hallottam már róla, minimális mértékben ismerem. 27% Egyáltalán nem ismerem. 34% Csak az eredmény érdekel. 7% Összes szavazat: 565
Új felhasználók
InformációKövess minket!Partnerünk |
azt hittem, nyílt forrású cuccnál ilyesmi nem fordulhat elő, mert mindenki elolvassa "a programot" használatbavétel előtt, hiszen így tudja ellenőrizni, nincsen semmiféle rosszindulatú kód a programban, ellentétben a csúnya, zárt, csak binárisan terjesztett szemetekkel, ahol a mocskos gyártó ezt nem teszi lehetővé és telenyomja szpájverrel a stuffot
Asszem zárt forrású kódnál sose derülne ki ilyen, hacsak nem olyan bután van megoldva hogy hálózati forgalma alapján elcsípik.
viszont nyíltnál minden esetben azonnal ki kéne, right? hiszen ez az egyik fő előnye
Kiderült. Kíváncsi lennék egy diff-re, mégis miket raktak bele.
letoltod a 1.4.12, es a 1.4.13-at, kicsomagolod, es nyomsz egy diffet.
ha meg "fertozott" a 1.4.12 akkor megtalalod. nekem egyedul eztunt gyanusnak:
@@ -31,7 +31,9 @@ } /* This needs to be first, for all non_options pages */ - if (defined('PAGE_NAME') && PAGE_NAME=='administrator_options') { + //if (!defined('PAGE_NAME') || strpos(PAGE_NAME, 'options') === FALSE) { + if (!defined('PAGE_NAME') + || (PAGE_NAME != 'administrator_options' && PAGE_NAME != 'options')) { $auth = FALSE; } else if (file_exists(SM_PATH . 'plugins/administrator/admins')) { $auths = file(SM_PATH . 'plugins/administrator/admins');--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!
otthon, letöltés után, telepítés előtt
troll és lame:
s/olvassa a programot/checksum ellenőrzést végez/;
Itt is így derült ki.
--
trey @ gépház
vagyis egy helyre sem kerülhetett fel "fertőzött kód", hisz mindenki ellenőrzi az md5 checksumot telepítés előtt
Nem, sajnos nem mindenki. De ezt ne varrd már a nyílt forráskód nyakába... A nyílt forráskód hibája lenne, hogy vannak felelőtlen emberek?
--
trey @ gépház
Mindenkinek megvan a lehetősége rá - na ezért tényleg jobb az opensource. Ha ennek nem tudsz örülni, lehet bármi mást használni és annak örülni.
---
;-(
Nem, mar megint sikerult forditva felulnod a lora, es aminek parancsokat adsz az a segge a lonak. A nyilt forraskod lehetoseget biztosit arra, hogy te mint felhasznalo ellenorizhesd a kodot. Ennyi. Ezzel tobb mint a zart forraskod. Semmit nem garantal.
egy md5 csekket azért lefuttatsz a nyílt forráskódon telepítés előtt?
Van aki a zárt forráskódún is. Pl. Total Commander-en, DaemonTools-on... Az ember igyekszik óvatos lenni. Teljes biztonság nincs, törekedni azonban lehet rá.
--
trey @ gépház
Ami forrasbol van azon 90% felett ami disztribuciobol azt megoldja mas.
Nem értem, hogy minek kötözködsz... szó sincs arról, hogy ez 100%-os biztonságot adna, viszont a jelek szerint pillanatokon belül kiderül a disznóság mert egyáltalán ki tud derülni!
És most mesélj nekünk így a tűz körül, kukoricafosztás közben azokról az izgalmas nevű függvényekről amiket anno az NT (bináris) kódjai közt találtak, valami nsa_backdoor_open() és hasonlók voltak.
Ez már kezd nagyon unalmas lenni.
Új lehetsz errefelé, én az "automatikus beállításmegváltoztató NT-szolgáltatás" óta nem lepődöm meg semmin.
It doesn't matter if you like my song as long as you can hear me sing
Nem különben az ilyen bullshitek.
--
trey @ gépház
Ezt nem ő találta ki.
It doesn't matter if you like my song as long as you can hear me sing
+1
hát ezt hallom errefelé :)
> pillanatokon belül kiderül a disznóság
"ANNOUNCE: SquirrelMail 1.4.11 Released
Sep 29, 2007 by Thijs Kinkhorst"
geez!
Ez semmit nem jelent. A kiadáskor nem volt benne, az eredeti forráskód nem érintett, később került bele a letöltésre kirakott csomagokba. Feltehetően december 8 körül.
"we strongly recommend everybody that has downloaded the 1.4.12 package after the 8th December, to redownload the package. "
--
trey @ gépház
akkor jó
Jónak nem jó, de ez van.
--
trey @ gépház
> És most mesélj nekünk így a tűz körül, kukoricafosztás közben azokról az izgalmas nevű függvényekről amiket anno az NT (bináris) kódjai közt találtak, valami nsa_backdoor_open() és hasonlók voltak.
ms = evil, emiatt nt-t, illetve egyéb ms terméket nem használunk, veszély nem fenyeget, vírus nincs, hackolni nem lehet. jól mondom?
itt nem erről van szó, de jól trollkodsz és próbálod bizonygatni, hogy a linux userek és kiváltképpen a hup-on fent lévő linux userek mind trollok. Fordított logikával. Nem rossz. Azért vegyük észre, hogy ez volt 7 nap, míg az MS-nél volt olyan bug, ami 286 napig ott figyelt, úgy, hogy az MS tudott(!) róla. Elég ha guglizol fél percet, beírod a megfelelő szöveget és készen is vagy.
ráadásul nem is muszáj pont ms-tal keresni ilyent
"Azért vegyük észre, hogy ez volt 7 nap, "
Sokat nem számít, de valójában 5 nap. Az eddigi infók szerint december 8-tól 13-ig. Akkor jelentették be a problémát és akkor már volt javítás.
--
trey @ gépház
most úgy csinálsz, mintha nem lenne egyértelmű, hogy m$ winfo$ egy fos. mindenki ismeri a rendszeres BOSD-t :) én biztos vagyok benne, hogy sokkal régebbi szándékos backdoorok is vannak benne, amin keresztül az fbi mindenkit!!! figyel
Már egyszer szóltam valakinek ezért a színezésért. Most szólok neked is, hogy mielőtt még beleéled magad, gyorsan fejezd is be.
--
trey @ gépház
ne haragudj, egy kicsit elragadtattam. többé nem fordul elő, esküszöm
kicsit off, de miért nem szereted a szinezést? Szvsz jól néz ki :-)
Hmm, te ugylatszik nem elegge, mert az BSOD :P
sejtettem, hogy vmelyik okostojás nem állja meg. bejött :)
ha sejtetted, akkor van szerkesztes gomb is a vilagon. amugy, nem sejted veletlenul a jovo heti keno/lottoszamokat? ;P
amugy nem vallom magam se okosnak, se hulyenek, a tojasaim meg koszi jolvannak... ;))
direkt írtam így :)
És most mesélj nekünk így a tűz körül, kukoricafosztás közben azokról az izgalmas nevű függvényekről amiket anno az NT (bináris) kódjai közt találtak, valami nsa_backdoor_open() és hasonlók voltak.
Fenébe, még a Google-t is benne van az NSA buliban, mert rákeresve a függvényre nulla találatot ad... :))
Pedig ők nem doznak evilt. :-P
It doesn't matter if you like my song as long as you can hear me sing
ingyen
Az nem fontos. A forrás legyen nyílt.
It doesn't matter if you like my song as long as you can hear me sing
viszont mar a bsd-kbe is beferkoztek ezek
szerintem ez egy globalis osszeeskuves
--
Bow down and admit defeat. | Old, weak and obsolete.
http://www.heise.de/tp/r4/artikel/5/5263/1.html
Rosszul googléztek :)
Ezek szerint korabbi verzio (konkretan Debianbol telepitett 1.4.9 nem erintett). Ugye?
Ha tegyuk fel most egy 1.4.12-es verzio lenne a gepemen, akkor hogy lehetne megtudni, hogy felnyomtak-e? Illetve ha felnyomtak volna, akkor milyen merteku lenne a gond?
Csak a webszerver altal irhato dolgokat kellene nezni?
Vagy ujra kene telepiteni az egesz gepet a biztonsag kedveert?
Gee da szerencsere csak elmeleti kerdes, de elgondolkoztam.
Deja Vu..
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Üllj le és kuss legyen!"..
;)