Lexa Software: Nginx-ru@sysoev.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: nginx-ru

Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: server_tokens как убрать имя nginx из хедеров ? дало бы больше време ни админам..

To: nginx-ru@xxxxxxxxx
Subject: Re: server_tokens как убрать имя nginx из хедеров ? дало бы больше време ни админам..
From: Одинцов Павел <pavel.odintsov@xxxxxxxxxxxxxx>
Date: Sun, 20 Sep 2009 01:22:34 +0500
Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=googlemail.com; s=gamma; h=domainkey-signature:mime-version:received:in-reply-to:references :date:message-id:subject:from:to:content-type :content-transfer-encoding; bh=TMq6PxfdKmfEDbF9mE853GGn1hybuWdx4k5nc2gaDSc=; b=t+eNxkTjIBO/0uQC4wpHyQPtgE2+bCAVsPIT2/Kq5snmlqtuGlzEQgtUV1VOYJOh3C ul3n0FkRgjidj/uVL6Ntal7RLOJPgmnegj+oyGbpgs60yjM8FpkyeyUvvS0hBzYyUPjO qBgAwqbUEHUvBGyZmC7xhswkUyCzwvNbtwZNY=
Domainkey-signature: a=rsa-sha1; c=nofws; d=googlemail.com; s=gamma; h=mime-version:in-reply-to:references:date:message-id:subject:from:to :content-type:content-transfer-encoding; b=X/SPOCodgYbpBZB0oTk2FPn8Hwi3X3gAG5rjJLFaUJxWqov6XdKjQCIxUXg/ZNNht3 cWw7jYRmDhFtsEHdKk1rnugHLWz9pmc2EkeGpMU3/3qzUjHvX+V1V8HXLzDGeccZwd23 BnpCWrMwL48TjjvLIop7VTWOcV0RJ5SLUHT/g=
In-reply-to: <1972365273.20090919162221@xxxxxxxxx>
References: <f027bef40909190456o22f6644n7d0b9ef6b3d7ec72@xxxxxxxxxxxxxx> <1972365273.20090919162221@xxxxxxxxx>

Эксплоит есть и рабочий, по кр мере на 38м работал :)

2009/9/19 Gena Makhomed <gmm@xxxxxxxxx>:
> On Saturday, September 19, 2009 at 14:56:02, Adrenalin wrote:
>
> A> Наличия опции которое бы давала возможность скрыть присутствие
> A> "target" nginx-a дало бы больше времени админам исправить Последние
> A> уязвимости как "allow remote attackers to execute arbitrary code"
> A> http://www.kb.cert.org/vuls/id/180065
>
> server_tokens off
>
> скрывает присутствие "target" среди 11,502,109 всех серверов nginx.
>
> A> Хорошо ещё что exploit не вышел раньше патча(0day),
> A> или может быть он где то и есть в привате..
>
> A> В lighttpd есть опция "server.tag" которое позволяет изменить
> A> tag на все что угодно, жаль что nginx берет плохой пример с apache..
>
> можно легко отличить lighttpd от apache по порядку выдачи заголовков ответа.
>
> модификация заголовка Server: не поможет скрыть наличие lighttpd на сервере.
>
> --
> Best regards,
>  Gena
>
>
>



-- 
С уважением, Одинцов Павел

Follow-Ups:
- Re: server_tokens как убрат ь имя nginx из хедеров ? дало бы больше време ни админам..
  - From: Maxim Dounin

References:
- server_tokens как убрать имя nginx из хедеров ? дало бы больше времени админам..
  - From: Adrenalin
- Re: server_tokens как убрать имя nginx из хедеров ? да ло бы больше времени админам..
  - From: Gena Makhomed

Prev by Date: Re[2]: ngx_http_secure_link_module
Next by Date: Расширенный мониторинг
Previous by thread: Re: server_tokens как убрать имя nginx из хедеров ? да ло бы больше времени админам..
Next by thread: Re: server_tokens как убрат ь имя nginx из хедеров ? дало бы больше време ни админам..
Index(es):
- Date
- Thread