интересная уязвимость в проектах, которые используют svn

[Dovg]

интересная уязвимость в проектах, которые используют svn

подробности: http://habrahabr.ru/blogs/infosecurity/70330/

пример: http://apache.org/.svn/entries

 

[whirlwind]

боян

 

[Wicked]

whirlwind
боян - потому что лично ты прочитал на хабре ранее?
или боян - потому что это уязвимости сто лет в обед, и она посему неактуальна?

 

[Krishna]

Это потому, что куча идиотов заливает через свн файло на боевой сервер, не понимая для чего он вообще нужен.

 

[Dovg]

Krishna
А как настоящие джедаи заливают файло на боевой сервер?

 

[Adelf]

Боян, потому, что вещь довольно очевидная неужели в .svn ради интересу не заглядывал?
Я никогда свном не заливал файлы на сервак. Отдельным механизмом надо.

 

[MiksIr]

А вообще все глубже - поколение windows =) Не зря служебная папка svn начинается с точки, как и многие скрытые файлы.

 

[Krishna]

Dovg
Заливают как угодно, главное что они пользуют систему контроля версий для разработки проекта, а не заливки чего-либо на боевой сервер.

Типичная совковая манера - прогер девелит на рабочей станции, нередко под виндой и каким-нибудь денвером, чтобы потом закоммитить изменения в свн/цвс, после чего увидеть, что на рабочем сервере всё упало, поправить, заново закоммитить.

 

[ys]

А что, еще у кого-то разрешен доступ в http сервере к тем местам, которые в конечном итоге оказываются директориям и файлами, начинающимся с точки?

 

[Beavis]

ys
а ты прочитай пост на хабре..

 

[DiMA]

есть еще одна, не то что уязвимость, а место для разнообразных багов

Пока SVN заливает в каталог новую версию проекта (процесс, допустим, длится 5 минут из-за большого числа файлов), в какой-то момент времени веб-скрипт может подключить 2 нужных разных библиотеки из старой (еще не обновившейся) и новой версий (уже обновившейся).

Решается так же элементарно, если голову включить и задуматься.

 

[fixxxer]

Ага, и мало того, что деплоить надо в новый фолдер - надо еще после деплоя менять в конфиге веб сервера путь к докруту (а не юзать например симлинки) и релоадить конфиг - иначе бывает что вылазят глюки с отдачей старого закэшированного байткода из акселератора.

Кстати практически во всех современных фреймворках в докруте достаточного одного index.php в пяток строк. Ну не считая статики.

 

[TutanXamoN]

/me задумался о поиске уязвимостей вида

include_file.inc

 

[Beavis]

TutanXamoN
ещё с .ini, .yaml, .xml и т.д. такая же "проблема" есть)

 

[whirlwind]

боян, потому что если ты хоть раз разбирал дефолтный httpd.conf, то ежу понятно, что

<FilesMatch "^\.ht">
блаблабла

это того же поля ягода. А если не читал, ну тогда это твои проблемы. Ващето эти 5 строк в дефолтном конфиге уже лет эдак пять.

-~{}~ 24.09.09 01:08:

PS. но проблема тут лежит несколько в другой плоскости, на самом деле. Проблема из разряда - как мне защитить мой любимый гавнакод, чтоп его не спизд*ли.

 

[antson]

Вообшем тема поста в том, что разработчики ленивы, то что так делать нельзя говорил чуть ли не с момента появления svn.
Напоминали и в этом году, а вся заслуга кулцхакеров, в том, что огласили размер пофигизма.

 

[FractalizeR]

Не совсем понятно, почему это называется "уязвимость". Это не уязвимость, это невнимательность пользователей системы. Так ведь и файлы с паролями можно по FTP закачать и сказать, что это уязвимость.

 

[Farsh]

А я ток что в логах запалил, как уже кто-то из Нидерланд пробивается в /.svn/entries .
Видимо народ засуетился

 

[fixxxer]

Автор оригинала: whirlwind
боян, потому что если ты хоть раз разбирал дефолтный httpd.conf, то ежу понятно, что

<FilesMatch "^\.ht">
блаблабла

это того же поля ягода. А если не читал, ну тогда это твои проблемы. Ващето эти 5 строк в дефолтном конфиге уже лет эдак пять.

причем давно пора по дефолту поменять на "^\."

.svn, .git, .ftppasswd etc

 

[whirlwind]

угу. я о том же