Re: OpenVZ

To: debian-russian@lists.debian.org
Subject: Re: OpenVZ
From: Alexey Pechnikov <pechnikov@mobigroup.ru>
Date: Fri, 12 Mar 2010 13:22:45 +0300
Message-id: <[🔎] 201003121322.45079.pechnikov@mobigroup.ru>
Reply-to: pechnikov@sandy.ru
In-reply-to: <[🔎] 85018816@wizzle.ran.pp.ru>
References: <201002121511.21656.pechnikov@mobigroup.ru> <[🔎] 201003121222.18689.pechnikov@mobigroup.ru> <[🔎] 85018816@wizzle.ran.pp.ru>

Hello!

On Friday 12 March 2010 12:53:19 Artem Chuprina wrote:
>  >> "Ты пальцем покажи".  Вот у тебя есть уязвимость, позволяющая выполнить
>  >> на сервере шелловскую команду.  Любую.  Но - stdin/stdout у нее в
>  >> /dev/null (у PHP может быть хуже, да, а в случае с уязвимостью в модуле
>  >> у апача или у твоего любимого AOL, скорее всего, будет именно так, если
>  >> ошибка не в mod_cgi).  Вопрос.  Какую команду ты будешь выполнять?
>  >> 
>  >> 
>  AP> Нечто, что принимает на stdin залитый через веб-интерфейс файл
> 
> /dev/null у нее stdin.

sh /tmp/webserver_uploaded_file

Best regards, Alexey Pechnikov.
http://pechnikov.tel/

Reply to:

References:
- Re: OpenVZ
  - From: Alexey Pechnikov <pechnikov@mobigroup.ru>
- Re: OpenVZ
  - From: Artem Chuprina <ran@ran.pp.ru>

Prev by Date: Re: Выбор псевдо-аппаратного NAS
Next by Date: Re: Выбор псевдо-аппаратного NAS
Previous by thread: Re: OpenVZ
Next by thread: Re: OpenVZ
Index(es):
- Date
- Thread