Lurttinen kirjoitti:Siinä ei säädöt auta, jos käytettävä ohjelmisto vuotaa, kuten esimerkiksi kuukausi sitten paljastunut haavoittuvuus monella palvelimella käytössä olevasta cPanel hallintaohjelmasta.
Se vaatii tunnukset cPaneliin ja antaa hyökkääjälle koko palvelimen.
(edit: eli käytännössä kaikkien webbihotellien asiakkaat, joilla on cPanel käytössä voisivat tehdä paljon tuhojaan, jos osaavat hyödyntää tuota haavoittuvuutta.)
cPanelia ajettiin rootin tunnuksella, tai tunnuksella, jolla oli oikeudet kirjoittaa jokaisen käyttäjän hakemistoihin (oikeasti cpanelhan kikkailee .htaccess tiedostojen kanssa). Mutta kuitenkin cpanelilla ajettavalla käyttäjätunnuksella on huomattavasti enemmän oikeuksia kirjoittaa eri paikkoihin kuin normiwebhotelliasiakkaan tunnuksella.
Lurttinen kirjoitti:Tai sitten se surullisen kuuluisa awstat haavoittuvuus joitakin aikoja sitten.
awstatia ajetaan aika usein rootin tunnuksella, joten reiästä on aukko rootin tunnariin, ei normi webhotelliasiakkaan.
Lurttinen kirjoitti:Kernel haavoittuvuudet, jne...
Itse palvelin ohjelmistokin voi vuotaa ja siinä ei sitten asetuksetkaan välttämättä auta.
Noillakaan ei ole mitään tekemistä normiwebhotelliasiakkaan tunnuksen kanssa.
Se, että cPanelissa on joku aukko ei tarkoita sitä että asiakkaita pelotellaan sulkemalla tunnuksia vaan isp itse korjaa sen aukon tai vaihtaa käyttöön ohjelman, jossa ei ole aukkoja. Tämän vuksi vältänkin firmoja, joissa on cPanel käytössä. CPanelissa eriityvät bugit on 100% isp:n ongelma, ei asiakkaan.
Siis onhan tuo phpBB päivitys tärkeää, mutta motivaationa ei saa olla isp:n sulkuyritykset.