 |
gildot |
 |
| |
| | SiteSeed com major security flaw | | |  | Contribuído por js em 17-04-02 13:11
do departamento código-disponível-é-bom | |  | |  | | |  daniel escreve "Boas! Vi agora isto no freshmeat e achei que dado tanto "fluff" sobre o dito, convinha informar a comunidade e ao mesmo tempo mostrar as virtudes (ou vicissitudes) do código com fonte disponível: "Major security fix to holes discovered by João Gouveia (aka tharbad@kaotik.org). UPGRADE NOW! All Siteseed versions previous to 1.4.2 are vulnerable to remote exploits that can give remote users complete control over your machine." " | | | | | | [js: Justifica-se publicar a notícia dum bugfix? Normalmente não. Mas atendendo às polémicas aqui havidas em torno do siteseed, esta é uma notícia de especial interesse para a nossa comunidade. E serve para lançar algumas questões: Os projectos beneficiam de ter o código disponível mesmo sem serem OpenSource? E a comunidade, beneficia?] < X Box não pega? | Voz sobre Ip nos estates > | | gildot Login | | | Referências | | |
| Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário. | | | Ena !
O Tharbad ainda mexe :-)
Um abraco, rapaz :-)
--
Reading the FM
|
| | | por Anonimo Cobarde em 18-04-02 1:22 GMT (#2)
|
| na ML do siteseed ainda se fala sobre mais e mais bugs que comprometem tudo e mais alguma coisa, existia um bug que permitia correr codigo php na maquina onde estava a pagina, pelo que o sr. PLS disse teve de por patches em quase todos os ficheiros php. eu já tinha olhado para o codigo do sr. PLS e só tenho de pergunta onde é que ele aprendeu a programar, o código dele é no mínimo horrivel, e a maneira como todo o siteseed está feito, já várias pessoas se pronunciarem sobre isso aqui no gildot, como o siteseed não era mais que um monte de pequenos scr1pts mal programados que trabalhavam juntos. o que me espanta é com tantos CMS bons que existem, os ppl da MrNet consegue vender aquela "coisa" a clientes importantes em Portugal.
|
| | | | | | E o preço daquilo? Que coisa ridicula, uma licença por cpu. Se eu fosse usar aquilo ficava mais barato comprar uma board nova e um cpu do que usar o meu dual p2. E ao menos ainda ficava com mais material em vez de ir engordar a conta bancaria daqueles senhores.
Quanto a bugs/buracos de segurança penso que se o pessoal está atento e a trabalhar para remover os bugs isso é bom, existem muitos projectos 100% opensource e de utilização livre que "cagam" nos bugreports (para ja nao falar das empresas 100% closed source).
Gustavo Felisberto
72ef1d7183eb2ea89420b94c0cf3e1f1
apt-get install anarchism |
| | | | Pela experiência que tive o esforço para resolver bugs não me pareceu assim tão grande!
Pelo contrário as respostas que obtive foi basicamente mandarem-me à "merda devagarinho".
"They that can give up essential liberty to obtain a little temporary safety deserve neither liberty nor safety." -- Benjamin Franklin, 1759 |
| | | | Ok, faz lá tu melhor, as mudanças em quase todos os scr1pts php referiam-se á mudança dos includes por requires. Mas de qualquer maneira o exploit não tá cá fora e isso é bom, se bem que é facil de descobrir, é só brincar com o URL, mais não posso dizer.
------------------------------ - BigBrother is Watching You - ------------------------------ |
| | | | | Uma pergunta que não esta directamente relacionada com o bug, mas sim com o seed em si. Vale a pena comprar uma licensa do dito programa? Não saía mais barato pagar a um puto que só vê programação à frente e que está em início de carreira? Do pouco tempo que "perdi" a debruçar-me sobre o seed deu para entender que é uma "coisita" ao estilo do PHPNuke(e amigos) mas mais maleável (se estiver enganado prometo voltar a ver!), pelo que não consigo compreender porque raio andam a gastar dinheiro em coisas um pouco banais e que deve haver bastantes pessoas com capacidade para fazer. Ou estou completamente errado?
|
| | | | | | Do pouco tempo que "perdi" a debruçar-me sobre o seed deu para entender que é uma "coisita" ao estilo do PHPNuke
Não tem nada a ver com o phpnuke, olha bem para aquilo, eu não tenho muita expriencia com os nukes, mas o SS é no mínimo muito mas muito mais configuravel que o nuke.
------------------------------ - BigBrother is Watching You - ------------------------------ |
| | | | | | Pontos:0 Gozão - ? Então eu apenas mostro ao moço que ja tinha dito que o Seed era mais configurável e sou gozão? As vezes não compreendo estas pontuações... Tipo, podiam ler antes de pontuar!
|
| | | por Anonimo Cobarde em 19-04-02 13:04 GMT (#13)
|
| Não conheço o Siteseed. Nunca instalei. Nunca vi o backoffice a funcionar ao vivo. Só conheço o que está no site. Não faço sites (compro feitos) e o meu interesse é mais no linux como hobby, por pura curiosidade e nada tem a ver com trabalho.
O que me choca é que eu fui ver o site do Siteseed e GOSTEI do que vi. Gosto dos sites apresentados feitos no sistema. São bonitos diversificados em termos visuais. Agrada-me a ideia de Portugueses terem feito aquele sistema. Para já "parabéns".
Fui ver a licença que tanta polémica despertou. Não acho nada má. Para utilizadores privados é mesmo excelente. Não percebo se dizem bem ou mal do código com razão, e do tal "sr PLS", que presumo seja o "Paulo Laureano", mas uma coisa é certa FIZERAM QUALQUER COISA e demonstram pelo menos a coragem de mostrar o que fizeram. Bom ou mau, só estar na www já é só por si notável.
Quanto ao problema de segurança então estou mesmo estupefacto!!! Então eles próprios anunciam o problema, corrigem o dito cujo, dão crédito a quem o descobriu... não é isto que é sumposto acontecer? A postura parece-me correcta. Muito, mas muito mesmo, parecida com o que se passou com o PHP recentemente, e o bug não é "mais grave" do que era o do PHP, é a mesma coisa, compromete a máquina.
Li aqui que o Siteseed não é nada de especial, e que qualquer um faz o mesmo. Ora, se isto até pode ser verdade, a realidade é que os tais "qualquer um" não estão a fazer a mesma coisa, ou se estão não o estão a mostrar.
Tenho dito!
|
| | | |
|
