Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Apache 2.0: не слишком опасный DoS из-за ошибки в mod_cgi 29.09.03 21:21
Publisher: dl <Dmitry Leonov>
|
Apache 2.0: не слишком опасный DoS из-за ошибки в mod_cgi
SecurityTracker http://www.securitytracker.com/alerts/2003/Sep/1007823.html
Вывод более чем 4к символов на STDERR приводит к зависанию самого скрипта, а заодно и к возможному зависанию всего сервера. Использовать эту ошибку, правда, не слишком легко - надо иметь как минимум возможность запускать на сервере свои скрипты.
Полный текст
|
|
Как сказать 29.09.03 21:40
Автор: Ktirf <Æ Rusakov> Статус: Elderman
|
> Вывод более чем 4к символов на STDERR приводит к зависанию
> самого скрипта, а заодно и к возможному зависанию всего
> сервера. Использовать эту ошибку, правда, не слишком легко
> - надо иметь как минимум возможность запускать на сервере
> свои скрипты.
Не обязательно. Можно попытаться спровоцировать скрипт, работающий на сервере, вывести длинную строку в stderr. Не думаю, что любой скрипт проверяет, а не придется ли ему при ошибке вывести диагностических данных больше чем на 4к :)
|
| |
Как сказать 29.09.03 22:50
Автор: dl <Dmitry Leonov>
|
> Не обязательно. Можно попытаться спровоцировать скрипт,
> работающий на сервере, вывести длинную строку в stderr. Не
> думаю, что любой скрипт проверяет, а не придется ли ему при
> ошибке вывести диагностических данных больше чем на 4к :)
Теоретически да. На практике большинство скриптов в основном выводит что-то на stderr непосредственно перед тем как аварийно завершиться, сказав что-нибудь коротенько в die. Хотя, конечно, возможны варианты.
|
|
|
подробно о проекте
Анализ криптографических сетевых...
