| Неудача - это разновидность удачи, которая не знает промаха.
| | | |
|
|
|
|
|
|
|
|
В http-сервере Nostromo (nhttpd) выявлена уязвимость
(CVE-2019-16278), позволяющая атакующему удалённо выполнить свой код на сервере через отправку специально оформленного HTTP-запроса. Проблема будет устранена в выпуске 1.9.7 (ещё не опубликован). Судя по информации от поисковой системы Shodan http-сервер Nostromo используется примерно на 2000 публично доступных хостах.
Уязвимость вызвана ошибкой в функции http_verify, пропускающей обращение к содержимому файловой системы за пределами корневого каталога сайта через передачу в пути последовательности ".%0d./". Уязвимость проявляется так как проверка на наличие символов "../" производится до выполнения функции нормализации пути, в которой из строки удаляются символы перевода строки (%0d).
Для эксплуатации уязвимости можно обратиться к /bin/sh вместо CGI-скрипта и выполнить любую shell-конструкцию, отправив POST-запрос к URI "/.%0d./.%0d./.%0d./.%0d./bin/sh" и передав команды в теле запроса. Интересно, что в 2011 году в Nostromo уже была исправлена похожая уязвимость (CVE-2011-0751), которая позволяла атаковать через отправку запроса "/..%2f..%2f..%2fbin/sh".
 9.051  70.5047  0.5871  63.7244
|
|
| НОВОСТИ: Выпуск кластерной ФС Lustre 2.13 Mon, 09 Dec 2019 07:00:55 +0300 |
Опубликован релиз кластерной файловой системы Lustre 2.13, используемой в большей части (~60%) крупнейших Linux-кластеров, содержащих десятки тысяч узлов. Масштабируемость на столь крупных системах достигается благодаря многокомпонентной архитектуре. Ключевыми компонентами Lustre являются серверы обработки и хранения метаданных (MDS), управляющие серверы (MGS), серверы хранения объектов (OSS), хранилище объектов (OST, поддерживается работа поверх ext4 и ZFS) и клиенты. |
|
|
