Fórum Root.cz
Hlavní témata => Server => Téma založeno: APhacker_mob 03. 11. 2023, 20:09:53
-
Existuje primocary zpusob jak prokazat neexistenci zranitelnosti https://nvd.nist.gov/vuln/detail/CVE-2019-9513 na webovem serveru z venku? Dostal jsem email od zakaznika, ze na webovem serveru jsou zranitelnosti, neni to pravda, nevim jak to snadno predvest.
Idealne hledam nejaky webovy scanner, na ktery by stacilo poslat odkaz.
-
Jestli na to máš nějaký peníze, pošli mi SZ, píchnu ti.
-
Jestli na to máš nějaký peníze, pošli mi SZ, píchnu ti.
Proc bych mel platit zrovna Vam? Podle historie prispevku diskutujete pouze o vysi platu a cenach HW. K tomu se dokaze vyjadrovat kazdy. Muzete prokazat odbornost?
-
Pokud pouziva Nginx tak se to pozna podle verze > 1.16.1: https://www.nginx.com/blog/nginx-updates-mitigate-august-2019-http-2-vulnerabilities/ Pokud pouzivas Apache, pouzivas skutecne modul http2 ? https://tools.keycdn.com/http2-test
-
nejjednodussi je overeni presne verze.
-
a myslim, ze na webu uz je nejaka volba do configu, aby se chvili cekalo mezi volanimi a to nastaveni predejte zneuziti chyby.
-
Pochybuju, že na to bude webový scanner – musel by zkoušet zaútočit na web, který mu zadá uživatel, a k něčemu takovému nikdo soudný svůj webserver nepropůjčí.
Nevypadá to, že by byl nějaký veřejně známý PoC nebo exploit. Řešením by mohlo být ukázat, že máte konfiguraci, která nespadá do postižených konfigurací vyjmenovaných na stránce CVE.
A hlavně bych se ptal zákazníka, proč si myslí, že tam ta zranitelnost je.
-
nejjednodussi je overeni presne verze.
Neni z venku videt.
-
nejjednodussi je overeni presne verze.
Neni z venku videt.
takze ty mas zakaznika co nespolupracuje a ty mu chces pomoci zahlceni serveru dokazat, ze mas pravdu?!
to je jak v manzelstvi.
ps: to je imbecilita, zakaznik si ma prekontrolovat verze.
-
nejjednodussi je overeni presne verze.
Neni z venku videt.
takze ty mas zakaznika co nespolupracuje a ty mu chces pomoci zahlceni serveru dokazat, ze mas pravdu?!
to je jak v manzelstvi.
ps: to je imbecilita, zakaznik si ma prekontrolovat verze.
Zakaznik nema na nas server pristup, jsme propojeni pres API.
-
Zakaznik nema na nas server pristup, jsme propojeni pres API.
Proc to teda nenapises jemu? Co ches teda dokazovat, ze API nebezi po HTTP?
-
Takže na to love nemáš. No kdybys měl, tak bych ti píchnul :-)
-
Existuje primocary zpusob jak prokazat neexistenci zranitelnosti https://nvd.nist.gov/vuln/detail/CVE-2019-9513 na webovem serveru z venku? Dostal jsem email od zakaznika, ze na webovem serveru jsou zranitelnosti, neni to pravda, nevim jak to snadno predvest.
Idealne hledam nejaky webovy scanner, na ktery by stacilo poslat odkaz.
a jseš si jistej, že server poskytuje http/2 i přes to API ?
-
A preco ty by si mal dokazovat, ze tam nie je. Ak je zakaznik presvedceny, ze je tam zranitelnost, tak nech ti dokazy, na zaklade ktorych na to prisiel doda on.
-
nech ti dokazy, na zaklade ktorych na to prisiel doda on.
Zákazník to tvrdí nejspíš na základě nějakého interně objednaného testu zranitelností.
Můj odhad:
- zákazník dostane seznam zranitelností
(btw, CVE score je sice 7.5, ale pokud to není služba vystrčená do netu, tak se to dá u DOS zranitelností akceptovat)
- vedení trvá na odstranění všech zranitelností > medium
- zákazníci často tvrdohlavě trvají na vyřešení všech zranitelností > 7 bez ohledu na relevantnost
- no a objednatel chce po dodavateli vyřešit problém
...asi tak...
-
nech ti dokazy, na zaklade ktorych na to prisiel doda on.
Zákazník to tvrdí nejspíš na základě nějakého interně objednaného testu zranitelností.
Můj odhad:
- zákazník dostane seznam zranitelností
(btw, CVE score je sice 7.5, ale pokud to není služba vystrčená do netu, tak se to dá u DOS zranitelností akceptovat)
- vedení trvá na odstranění všech zranitelností > medium
- zákazníci často tvrdohlavě trvají na vyřešení všech zranitelností > 7 bez ohledu na relevantnost
- no a objednatel chce po dodavateli vyřešit problém
...asi tak...
…a přišli na to automatickým skenerem s bugem, imho. Ale mohlo by z toho reportu jít zjistit, proč si to ten skener myslí. My jsme takhle měli problém když jsme dodávali stroj s Debianem, a zákazníkův skener jen porovnal verze, ale v Debianu jsou bezpečnostní opravy backportované a verze se tváří číselně staře. Ale nějak jim to šlo vysvětlit.
No a když jsem jim za tři měsíce řekl, že bych jako pustil znova apt-get update, apt-get upgrade, aby se nainstalovaly nové záplaty, tak řekli, že to v žádném případě nejde, že to je produkční systém a pro každou takovou věc se musí naplánovat odstávkové okno. Takže teď tam mají už víc než rok neaktualizovaný Debian.
Fun fact: odstávkové okno se musí v jejich „korporátu“ plánovat minimálně dny, ale spíše 1-2 týdny předem, což je ale úplně nesmyslné vzhledem k jejich use-case, protože na týden předem nelze spolehlivě předpovědět, jestli bude v daný okamžik někde v okolí pršet (je to meteoradar). My jsme naprosto revoluční, takže když plánuju něco měnit, tak se podívám, jestli neprší a v nejbližší hodině nebude a prostě to udělám.
-
Souhlas se vším.
-
Prokázat to jednoduše nejde... páč DDOS ... řešení upgrade na ngnix 1.19.15 a vyšší. Stejně jako CVE-2019-9516.
-
No a když jsem jim za tři měsíce řekl, že bych jako pustil znova apt-get update, apt-get upgrade, aby se nainstalovaly nové záplaty, tak řekli, že to v žádném případě nejde, že to je produkční systém a pro každou takovou věc se musí naplánovat odstávkové okno. Takže teď tam mají už víc než rok neaktualizovaný Debian.
Preboha. Takze je to dolezity server, a nie je aktualizovany?
V banke robia aktualizacie za plnej prevadzky a to tak, ze si urobia aktualny klon systemu, aktualizuju, otestuju a ked je to ok, tak to pustia v noci na produkcny. vypadok ziadny, lebo navyse vsetko tam bezi na viacerych masinach, takze len na tu chvilu aktualizacie odpoja dany stroj od balancera.
Tu by im uplne stacili 2 stroje (zaroven je to zaloha, ak jeden zlyha) a proste najskor aktualizovat jeden, potom druhy. Jednoduche, lacne, efektivne.
-
Preboha. Takze je to dolezity server, a nie je aktualizovany?
Naštěstí není dostupný zveku. Teda moc.
Tu by im uplne stacili 2 stroje (zaroven je to zaloha, ak jeden zlyha) a proste najskor aktualizovat jeden, potom druhy. Jednoduche, lacne, efektivne.
To tady nejde, protože to řídí hardware, který je velmi těžké sdílet. (taky jsme přemýšleli nad failoverem a usoudili jsme že by to bylo strašně složité zapojit tak aby to mělo šanci nějak fungovat)
-
Dekuji vsem za odpovedi. Aktualizoval jsem nginx mimo distribuci. Problem vyresen.