[Comm] XSpider 6.5

[Comm] XSpider 6.5

[Denis G. Samsonenko]

Всем привет!

Мы тут у себя в институте ставим новый сервер, независимо от центрального
институтского. Наши админы сказали, что выпустят его наружу, если в
выводе программы XSpider6.5 не будет ругательств по поводу
уязвимостей.

Мы прогнали еёшный сканер по нашему серваку и получили некий вывод.
Кое что мне из него непонятно. Не могли бы вы пояснить мне, что именно
не нравится этому XSpider'у и что надо сделать?

Вот часть вывода:
---------------------
- порт 80/tcp
  сервер HTTP  : Apache/1.3.27 (ALT Linux/alt13sdg) PHP/4.1.2/ALT rus/PL30.16  >>>
...
  подозрение на существование уязвимости
  удаленное выполнение команд  :::::
описание уязвимости:
  This vulnerability could be used by a remote attacker to execute
  arbitrary code or crash PHP and/or the web server.
Solution : Upgrade.
Patch: http://www.php.net/downloads.php
  Urls:  http://www.xfocus.net   http://www.whitecell.org
...
- порт 22/tcp
  сервис SSH     - Security Shell
  SSH-1.99-OpenSSH_3.1p1  >>>
...
  подозрение на существование уязвимости
  командная строка с правами root  :::::
описание уязвимости:
  There is a flaw in this version that can be exploited remotely and
  allows anyone to, gain root remotely on this host. Version 3.3 is
  affected only if UsePrivilegeSeparation is disabled.
Solution : Upgrade.
Patch: http://www.openssh.org
--------------------------------

Стоит у нас Мастер 2.0, все апдейты, + апач-1.3.27 из сизифа,
пересобранный для мастера.

Я первый раз этим делом занимаюсь, поэтому ещё не знаю всего, что надо для
сервера.

Best regards,

Denis

----------
earthsea@ngs.ru

Re: [Comm] XSpider 6.5

[Leonid B. Sysoletin]

18 Февраль 2003 11:20, Denis G. Samsonenko написал:
> Мы тут у себя в институте ставим новый сервер, независимо от центрального
> институтского. Наши админы сказали, что выпустят его наружу, если в
> выводе программы XSpider6.5 не будет ругательств по поводу
> уязвимостей.

А где они его берут?
На сайте www.xspider.ru последняя версия - 6.40

-- 
Л. Сысолетин,
webmaster@unicon-ms.ru
[Team Ёжики-рулез!] [Team Котёнки на солярке] [Team Берегите букву "ё"!]

С историей неблизко, но знаком, 
я славу нашу вижу очень ясно: 
мы стали негасимым маяком, 
сияющим по курсу, где опасно. 

Re: [Comm] {JT} XSpider 6.5

[Alexander Kharkov]

Hi!

XSpider штука веселая, он у меня один раз на линуксовой машине нашел
пару уязвимостей в MS IIS и предложил на сайт ихний за исправлениями
сходить:-))

Причем ругался он на XML DB ораклевый :-))

Всех благ!

Re: [Comm] XSpider 6.5

[Rinat Bikatov]

18 Февраль 2003 12:31, Вы написали:
> А где они его берут?
> На сайте www.xspider.ru последняя версия - 6.40
на их сайте (в download)

-- 
Ринат				писать: BiRin@orbita.udm.ru

Re: [Comm] XSpider 6.5

[Leonid B. Sysoletin]

18 Февраль 2003 12:38, Rinat Bikatov написал:
> 18 Февраль 2003 12:31, Вы написали:
> > А где они его берут?
> > На сайте www.xspider.ru последняя версия - 6.40
> на их сайте (в download)

О! А на морде - 6.40...

-- 
Л. Сысолетин,
webmaster@unicon-ms.ru
[Team Ёжики-рулез!] [Team Котёнки на солярке] [Team Берегите букву "ё"!]

У зрелых развалин и дряхлых юнцов - 
такое к покою стремление, 
как будто свалилась усталость отцов 
на рыхлых детей поколение. 

Re[2]: [Comm] XSpider 6.5

[Evgeny Yugov]

Здравствуйте Leonid,

>> Мы тут у себя в институте ставим новый сервер, независимо от центрального
>> институтского. Наши админы сказали, что выпустят его наружу, если в
>> выводе программы XSpider6.5 не будет ругательств по поводу
>> уязвимостей.
LBS> А где они его берут?
LBS> На сайте www.xspider.ru последняя версия - 6.40
Видать админы девел версией пользуются...
Типа не стабильной :o)))))))

На самом деле по моему полная чушь вывод лога... то что описанно imho
давно пофикшено... просто софтина тупо смотрит на версию... и отсель
делает выводы... :o/

-- 
With Best regards,
Evgeny Yugov,
MTS, programmer of Advanced Technologies Departament.
mailto:yugov@scs-900.ru

Origin: Шел 1926 год. В стране не хватало хлеба.... и черную икру мазали прямо на колбасу!

Re[2]: [Comm] {JT} XSpider 6.5

[Evgeny Yugov]

Здравствуйте Alexander,

AK> XSpider штука веселая, он у меня один раз на линуксовой машине нашел
AK> пару уязвимостей в MS IIS и предложил на сайт ихний за исправлениями
AK> сходить:-))
AK> Причем ругался он на XML DB ораклевый :-))

Мдеее...

У меня совет к автору треда...
Посоветуйте админам подписаться на рассылку bugtraq на securityfocus.com
И потереть "умную" софтину... (кстати Вам тоже это будет небесполезно)

До кучи как Вам уже советовали можете предоставить changelog от обоих
пакетов Вашим... "админам" :o)


-- 
With Best regards,
Evgeny Yugov,
MTS, programmer of Advanced Technologies Departament.
mailto:yugov@scs-900.ru

Origin: Все что я умею... портит своим майонезом Кальвэ моя мама!!!

Re[2]: [Comm] {JT} XSpider 6.5

[Evgeny Yugov]

Здравствуйте Alexander,

AK> Причем ругался он на XML DB ораклевый :-))

Кстати... клево... виндовой софтиной тестить на уязвимости *nix
сервера... у меня нет слов! :o)))))))))))))))))))))

Ща мы себя потестим... ;o)

-- 
With Best regards,
Evgeny Yugov,
MTS, programmer of Advanced Technologies Departament.
mailto:yugov@scs-900.ru

Origin: Каждая свинья должна постpоить хлев, выpастить поpосенка и посадить дуб.

[Comm] [Comm] {JT} XSpider 6.5 (мое IMHO)

[Evgeny Yugov]

Здравствуйте Evgeny,

EY> Ща мы себя потестим... ;o)

Сбор данных по компьютеру "bug.scs-900.ru"...
Дата и время сканирования: 18.02.2003 - 16:29:24

IP адрес компьютера "bug.scs-900.ru" : 10.10.4.90
Обратный DNS по этому адресу "bug.scs-900.ru"
Компьютер находится в сети  (TTL = 255)  >>>
Cеть класса  A  (максимальное число компьютеров 16.777.214)

TCP порты
 - открытые    : 5
 - закрытые    : 2935
 - недоступные : 0

- порт 80/tcp
  сервер HTTP  : Apache/1.3.23 (ALT Linux/alt8) PHP/4.1.2/ALT rus/PL30.11  >>>
    состояние  : 200 (OK)
    текущие  дата и время  :  (Tue, 18 Feb 2003 10:32:25 GMT)
    последняя модификация  :  (Fri, 12 Jul 2002 03:56:02 GMT)
    формат содержимого     :  (text/vnd.wap.wml; charset=utf-8)
    соединение             :  (close)

<бага1>
    определение следующей информации находится пока в тестовом режиме
    реальное имя http-сервера совпадает с указанным в его ответе
    сервер HTTP : Apache HTTP Server (1.3.X)  >>>

    подозрение на существование уязвимости
    возможна утечка в общедоступной памяти 'scoreboard'  ::::

     описание уязвимости:
      Apache HTTP Server contains a vulnerability in its shared memory
      scoreboard. Attackers who can execute commands under the Apache UID
      can either send a (SIGUSR1) signal to any process as root, in most
      cases killing the process, or launch a local denial of service (DoS)
      attack.
      
      Exploitation requires execute permission under the Apache UID. This
      can be obtained by any local user with a legitimate Apache scripting
      resource (ie: PHP, Perl), exploiting a vulnerability in web-based
      applications written in the above example languages, or through the
      use of some other local/remote Apache exploit.
      
      Solution: Upgrade to 1.3.27
      
      Patch:
      http://www.apache.org/dist/httpd/
</бага1>

<бага2>
    подозрение на существование уязвимости
    удаленное выполнение команд  :::::

     описание уязвимости:
      This vulnerability could be used by a remote attacker to execute 
      arbitrary code or crash PHP and/or the web server.
      
      Solution : Upgrade.
      
      Patch: http://www.php.net/downloads.php
      
      Urls:
      http://www.xfocus.net
      http://www.whitecell.org
</бага2>

    директории доступные для просмотра  >>>>
     /img/
      http://bug.scs-900.ru:80/img/

    доступные директории  >>>
     /admin/

    существующие, но недоступные директории  >>>
     /cgi-bin/

- порт 25/tcp
  сервер SMTP    - отправка почты   (работает)
    bug.scs-900.ru ESMTP Postfix  >>>

- порт 5432/tcp
  сервис PostgreSQL
    R -   >>>>

- порт 22/tcp
  сервис SSH     - Security Shell
    SSH-1.99-OpenSSH_3.4p1  >>>
    версии поддерживаемых протоколов:  1.33  1.5  1.99  2.0
    версии протокола 1.33 и 1.5 недостаточно защищены криптографически  >>>


- порт 8102/tcp
  сервер HTTP  : Apache/1.3.23 (ALT Linux/alt8) PHP/4.1.2/ALT rus/PL30.11  >>>
    состояние  : 200 (OK)
    текущие  дата и время  :  (Tue, 18 Feb 2003 10:39:43 GMT)
    последняя модификация  :  (Fri, 12 Jul 2002 03:56:02 GMT)
    формат содержимого     :  (text/vnd.wap.wml)
    соединение             :  (close)
<бага3>
    определение следующей информации находится пока в тестовом режиме
    реальное имя http-сервера совпадает с указанным в его ответе
    сервер HTTP : Apache HTTP Server (1.3.X)  >>>

    подозрение на существование уязвимости
    возможна утечка в общедоступной памяти 'scoreboard'  ::::

     описание уязвимости:
      Apache HTTP Server contains a vulnerability in its shared memory
      scoreboard. Attackers who can execute commands under the Apache UID
      can either send a (SIGUSR1) signal to any process as root, in most
      cases killing the process, or launch a local denial of service (DoS)
      attack.
      
      Exploitation requires execute permission under the Apache UID. This
      can be obtained by any local user with a legitimate Apache scripting
      resource (ie: PHP, Perl), exploiting a vulnerability in web-based
      applications written in the above example languages, or through the
      use of some other local/remote Apache exploit.
      
      Solution: Upgrade to 1.3.27
      
      Patch:
      http://www.apache.org/dist/httpd/
</бага3>
<бага4>
    подозрение на существование уязвимости
    удаленное выполнение команд  :::::

     описание уязвимости:
      This vulnerability could be used by a remote attacker to execute 
      arbitrary code or crash PHP and/or the web server.
      
      Solution : Upgrade.
      
      Patch: http://www.php.net/downloads.php
      
      Urls:
      http://www.xfocus.net
      http://www.whitecell.org
 </бага4>

    директории доступные для просмотра  >>>>
     /img/
      http://bug.scs-900.ru:8102/img/

    доступные директории  >>>
     /admin/

    существующие, но недоступные директории  >>>
     /cgi-bin/


Найдено:
 - замечаний                : 12   >>>
 - возможных предупреждений : 2   ::::
 - предупреждений           : 3   >>>>
 - потенциальных опасностей : 2   :::::

И того... бага1,3 - в тестовом режиме и на ее достоверность полагаться
нельзя... на худой конец опять же смотреть changelog пакета... я
смотреть не стал так как читаю bugtraq и слежу за аннонсами ALT...
Пока задержек с выходом исправлений не наблюдалось :o)
... далее бага2,4 с теми же комментариями...

P.S. Если я такой умный почему я не админ!? (воп риторический)
P.S.S Мне кажется что эта прога прикрытие для создания нелегальной
базы рассылки (спама)...


-- 
With Best regards,
Evgeny Yugov,
MTS, programmer of Advanced Technologies Departament.
mailto:yugov@scs-900.ru

Origin: Машина никак не заводилась. А он с детства мечтал завести себе машину.

Re[2]: [Comm] XSpider 6.5

[Denis G. Samsonenko]

Hi!

Tuesday, February 18, 2003, 2:31:18 PM, you wrote:
>> Мы тут у себя в институте ставим новый сервер, независимо от центрального
>> институтского. Наши админы сказали, что выпустят его наружу, если в
>> выводе программы XSpider6.5 не будет ругательств по поводу
>> уязвимостей.

> А где они его берут?
> На сайте www.xspider.ru последняя версия - 6.40

Понятия не имею, где они её взяли. Я её сам в первый раз вижу.
Написано, что 6.50 кристмас едишн. Может я конечно неправильно
запомнил.

Best regards,

Denis

----------
earthsea@ngs.ru

Re: Re[2]: [Comm] XSpider 6.5

[Leonid B. Sysoletin]

18 Февраль 2003 14:16, Denis G. Samsonenko написал:
> > А где они его берут?
> > На сайте www.xspider.ru последняя версия - 6.40
> Понятия не имею, где они её взяли. Я её сам в первый раз вижу.
> Написано, что 6.50 кристмас едишн. Может я конечно неправильно
> запомнил.

Всё правильно. Внутри у них 6.50 , а на морде - 6.40 .

-- 
Л. Сысолетин,
webmaster@unicon-ms.ru
[Team Ёжики-рулез!] [Team Котёнки на солярке] [Team Берегите букву "ё"!]

Мужчины желают секса, женщины - любви. А занимаются все одним и тем же.

Re: Re[2]: [Comm] {JT} XSpider 6.5

[Alexander Kharkov]

On Tue, 18 Feb 2003 16:10:15 +0600
Evgeny Yugov <yugov@scs-900.ru> wrote:

> Здравствуйте Alexander,
> 
> AK> Причем ругался он на XML DB ораклевый :-))
> 
> Кстати... клево... виндовой софтиной тестить на уязвимости *nix
> сервера... у меня нет слов! :o)))))))))))))))))))))

а мне больше и не надо (с) Реклама какая-то


> 
> Ща мы себя потестим... ;o)
> 
> -- 
> With Best regards,
> Evgeny Yugov,
> MTS, programmer of Advanced Technologies Departament.
> mailto:yugov@scs-900.ru
> 
> Origin: Каждая свинья должна постpоить хлев, выpастить поpосенка и посадить дуб.
> 
> _______________________________________________
> Community mailing list
> Community@altlinux.ru
> http://www.altlinux.ru/mailman/listinfo/community
> 

[Comm] Re: XSpider 6.5

[Michael Shigorin]

On Tue, Feb 18, 2003 at 02:20:34PM +0600, Denis G. Samsonenko wrote:
> Вот часть вывода:
> ---------------------
> - порт 80/tcp
>   сервер HTTP  : Apache/1.3.27 (ALT Linux/alt13sdg) PHP/4.1.2/ALT rus/PL30.16  >>>
> ...
>   подозрение на существование уязвимости

пусть проверят

>   удаленное выполнение команд  :::::
> описание уязвимости:
>   This vulnerability could be used by a remote attacker to execute
>   arbitrary code or crash PHP and/or the web server.
> Solution : Upgrade.
> Patch: http://www.php.net/downloads.php

и что -- вот этот крап, который только что опять чинили?

я бы этих "админов" заставил ряд патчиков-то из этого 4.1.2 носом
по строчке ;-E

> - порт 22/tcp
>   сервис SSH     - Security Shell
>   SSH-1.99-OpenSSH_3.1p1  >>>
> ...
>   подозрение на существование уязвимости
>   командная строка с правами root  :::::
> описание уязвимости:
>   There is a flaw in this version that can be exploited remotely and
>   allows anyone to, gain root remotely on this host. Version 3.3 is
>   affected only if UsePrivilegeSeparation is disabled.

ткнуть носом в /etc/openssh/sshd_config насчет болячек старых
sshd, до этого приложить 3.4p1-alt1 из updates все же.

> Solution : Upgrade.
> Patch: http://www.openssh.org
> --------------------------------
> 
> Стоит у нас Мастер 2.0, все апдейты, + апач-1.3.27 из сизифа,
> пересобранный для мастера.

если все -- вывод по :22 старый.

> Я первый раз этим делом занимаюсь, поэтому ещё не знаю всего,
> что надо для сервера.

они, видимо, подходят лениво-шаблонно.  что тоже, впрочем, метод.

коротко -- здесь все достаточно сурово патченое на обсуждаемую
тему, и судить исключительно по "цифирькам" и сканерам, которым
мозгов не положено -- неправильно.

впрочем, если "в первый раз" -- то таки правильнее by default :)

удачи!

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Comm] Re: XSpider 6.5

[Denis G. Samsonenko]

Hi!

Wednesday, February 19, 2003, 7:03:27 AM, you wrote:
>> - порт 22/tcp
>>   сервис SSH     - Security Shell
>>   SSH-1.99-OpenSSH_3.1p1  >>>
>> ...
>>   подозрение на существование уязвимости
>>   командная строка с правами root  :::::
...
>> Стоит у нас Мастер 2.0, все апдейты ...
> если все -- вывод по :22 старый.

Я кстати только щас заметил, что в выводе написано OpenSSH_3.1p1, а на
серваке у нас стоит:

[root@cys]# rpm -qa |grep ssh
openssh-server-3.4p1-alt1
openssh-3.4p1-alt1
openssh-clients-3.4p1-alt1

Он что, неверно определил номер версии?

Best regards,

Denis

----------
earthsea@ngs.ru

Re[2]: [Comm] Re: XSpider 6.5

[Evgeny Yugov]

Здравствуйте Denis,

DGS> Wednesday, February 19, 2003, 7:03:27 AM, you wrote:
>>> - порт 22/tcp
>>>   сервис SSH     - Security Shell
>>>   SSH-1.99-OpenSSH_3.1p1  >>>
>>> ...
>>>   подозрение на существование уязвимости
>>>   командная строка с правами root  :::::
DGS> ...
>>> Стоит у нас Мастер 2.0, все апдейты ...
>> если все -- вывод по :22 старый.

DGS> Я кстати только щас заметил, что в выводе написано OpenSSH_3.1p1, а на
DGS> серваке у нас стоит:

DGS> [root@cys]# rpm -qa |grep ssh
DGS> openssh-server-3.4p1-alt1
DGS> openssh-3.4p1-alt1
DGS> openssh-clients-3.4p1-alt1

DGS> Он что, неверно определил номер версии?
Хехе СИЛЬНАЯ прога... :o))))))
До кучи вы таки посмотрите что выдает ssd при коннекте... какую
версию... возможно что при пересборке кое что не учли... :o)


-- 
With Best regards,
Evgeny Yugov,
MTS, programmer of Advanced Technologies Departament.
mailto:yugov@scs-900.ru

Origin: В лес бояться - волков не кормить!

Re[3]: [Comm] Re: XSpider 6.5

[Denis G. Samsonenko]

Hi!

Thursday, February 20, 2003, 8:56:20 AM, you wrote:
>>>> - порт 22/tcp
>>>>   сервис SSH     - Security Shell
>>>>   SSH-1.99-OpenSSH_3.1p1  >>>
>> Я кстати только щас заметил, что в выводе написано OpenSSH_3.1p1, а на
>> серваке у нас стоит:
>> [root@cys]# rpm -qa |grep ssh
>> openssh-server-3.4p1-alt1
>> openssh-3.4p1-alt1
>> openssh-clients-3.4p1-alt1
>> Он что, неверно определил номер версии?
> Хехе СИЛЬНАЯ прога... :o))))))
> До кучи вы таки посмотрите что выдает ssd при коннекте... какую
> версию... возможно что при пересборке кое что не учли... :o)

В общем прописал в /etc/openssh/sshd_config строку "SshVersion
OpenSSH_3.4p1", а также "Protocol 2" и вся ругань по поводу ssh
пропала. :)

Best regards,

Denis

----------
earthsea@ngs.ru