tietoturvapäivitykset

[Anubis]

IMO, palveluntarjoaja toimii täsmälleen oikein, sillä vaarassa ei ole vain yksi sivusto, vaan koko palvelin ja kaikki siellä olevat sivustot.
Nyt puhutaan todella vakavista uhista palvelimelle ja ei todellakaan voi sanoa, että "ilman syytä".

Oikein säädetyllä palvelimella kräkkeri ei pääse asiakkaan sivutilalla olevalla sovelluksesta muualle kuin sen asiakkaan omiin tiedostoihin.

Sen sijaan järkeväähän tuo päivitys on tehdä, mutta ei se ole mikään uhkailun paikka.

[Lurttinen]

Oikein säädetyllä palvelimella kräkkeri ei pääse asiakkaan sivutilalla olevalla sovelluksesta muualle kuin sen asiakkaan omiin tiedostoihin.

Siinä ei säädöt auta, jos käytettävä ohjelmisto vuotaa, kuten esimerkiksi kuukausi sitten paljastunut haavoittuvuus monella palvelimella käytössä olevasta cPanel hallintaohjelmasta.
Se vaatii tunnukset cPaneliin ja antaa hyökkääjälle koko palvelimen.
(edit: eli käytännössä kaikkien webbihotellien asiakkaat, joilla on cPanel käytössä voisivat tehdä paljon tuhojaan, jos osaavat hyödyntää tuota haavoittuvuutta.)

Tai sitten se surullisen kuuluisa awstat haavoittuvuus joitakin aikoja sitten.
Kernel haavoittuvuudet, jne...
Itse palvelin ohjelmistokin voi vuotaa ja siinä ei sitten asetuksetkaan välttämättä auta.

Tokihan noita voi "säädellä" ja asennella MOD_securityä blokkaamaan tietyt jutut. Mutta sekin alkaa helposti vaikuttamaan sitten asiakkaiden sivustojen toimintaan ja sekään ei ole hyvä homma.
Asiakkaat nimittäin lähtevät pois jos eivät pysty ajamaan haluamaansa toimintoa.

[Anubis]

Siinä ei säädöt auta, jos käytettävä ohjelmisto vuotaa, kuten esimerkiksi kuukausi sitten paljastunut haavoittuvuus monella palvelimella käytössä olevasta cPanel hallintaohjelmasta.
Se vaatii tunnukset cPaneliin ja antaa hyökkääjälle koko palvelimen.
(edit: eli käytännössä kaikkien webbihotellien asiakkaat, joilla on cPanel käytössä voisivat tehdä paljon tuhojaan, jos osaavat hyödyntää tuota haavoittuvuutta.)

cPanelia ajettiin rootin tunnuksella, tai tunnuksella, jolla oli oikeudet kirjoittaa jokaisen käyttäjän hakemistoihin (oikeasti cpanelhan kikkailee .htaccess tiedostojen kanssa). Mutta kuitenkin cpanelilla ajettavalla käyttäjätunnuksella on huomattavasti enemmän oikeuksia kirjoittaa eri paikkoihin kuin normiwebhotelliasiakkaan tunnuksella.

Tai sitten se surullisen kuuluisa awstat haavoittuvuus joitakin aikoja sitten.

awstatia ajetaan aika usein rootin tunnuksella, joten reiästä on aukko rootin tunnariin, ei normi webhotelliasiakkaan.

Kernel haavoittuvuudet, jne...
Itse palvelin ohjelmistokin voi vuotaa ja siinä ei sitten asetuksetkaan välttämättä auta.

Noillakaan ei ole mitään tekemistä normiwebhotelliasiakkaan tunnuksen kanssa.

Se, että cPanelissa on joku aukko ei tarkoita sitä että asiakkaita pelotellaan sulkemalla tunnuksia vaan isp itse korjaa sen aukon tai vaihtaa käyttöön ohjelman, jossa ei ole aukkoja. Tämän vuksi vältänkin firmoja, joissa on cPanel käytössä. CPanelissa eriityvät bugit on 100% isp:n ongelma, ei asiakkaan.

Siis onhan tuo phpBB päivitys tärkeää, mutta motivaationa ei saa olla isp:n sulkuyritykset.

[irma]

Käytännössä tuon päivityksen vois hoitaa niin, että lataan uusimman version phpbb.comista, suomalaisen kielipaketin ja haluamasi tyylin.

Highly Honored Harmless,

jos mitenkään kehtaat tehdä tämän... olisin kiitollinen.

Väri siis subRed. Ei tuo asennus vaikuta mitenkään kauhealta, ainut mikä hirvittää on se että tuhoan jotain lopullisesti. Rekisteröityneitä foorumilla on 212 ja viestejä tulee yleensä alle 10 päivässä.

Ei kannata käyttää energiaa riitelyyn ja kaikkien etu tietysti on että tietoturva on kunnossa.

[mrl586]

Ei tuo asennus vaikuta mitenkään kauhealta, ainut mikä hirvittää on se että tuhoan jotain lopullisesti.

Tee backupit kaikista palvelimella olevista phpBB:n tiedostoista ja koko tietokannasta, niin et voi tuhota mitään lopullisesti.

[mrl586]

...tai vaihtaa käyttöön ohjelman, jossa ei ole aukkoja.

Missä ohjelmassa ei ole yhtään aukkoa?

[Anubis]

...tai vaihtaa käyttöön ohjelman, jossa ei ole aukkoja.

Missä ohjelmassa ei ole yhtään aukkoa?

Hello Worldissä. Siksipä pitääkin olla varovainen noissa ohjelmien kanssa.

[Lurttinen]

Nyt on 2.0.21 asennettu ja toimmii, mutta olikos sulla joku oma logo siellä...
Ei pitäis olla webbihotellilla enään sijaa narista foorumin suhteen...

Laitoin ne samat piilotukset, mitä täältä joskus laitoit. Laitoin uusimman version tuosta subred tyylistä, jossa on templaatin muutokset mukana.
Foorumin tiedostot korvattiin täysin viimeisimmillä versioilla.

huutele, jos jotain jäi uupumaan. Ei siellä näyttänyt olevan mitään selkeitä MODeja asennettuna, mutta eihän sitä koskaan tiedä/muista kaikkea yhdellä kertaa.

[irma]

terveisin
Hangon Keksi