ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: server_tokens как убрат ь имя nginx из хедеров ? дало бы больше време ни админам..



Hello!

On Sun, Sep 20, 2009 at 01:22:34AM +0500, Одинцов Павел wrote:

> Эксплоит есть и рабочий, по кр мере на 38м работал :)

Что, эксплоит появился в публичном доступе?  На DoS или code 
execution?  В общем, дайте пруфлинк pls, можно в приват.  А то я 
как дурак сижу и даже скан по собственной сети не пускаю, дабы не 
светить лишнего...  :)

Maxim Dounin

p.s. Моя позиция по поводу server tokens, if anybody cares, 
сводится к следующему: сообщение неправильной и/или неполной 
информации в заголовке Server затрудняет работу собственных 
специалистов, но никоим образом не атакующего.  Ибо он просто 
попробует имеющиеся эксплоит'ы, а на заголовок Server вообще 
смотреть не будет.

> 
> 2009/9/19 Gena Makhomed <gmm@xxxxxxxxx>:
> > On Saturday, September 19, 2009 at 14:56:02, Adrenalin wrote:
> >
> > A> Наличия опции которое бы давала возможность скрыть присутствие
> > A> "target" nginx-a дало бы больше времени админам исправить Последние
> > A> уязвимости как "allow remote attackers to execute arbitrary code"
> > A> http://www.kb.cert.org/vuls/id/180065
> >
> > server_tokens off
> >
> > скрывает присутствие "target" среди 11,502,109 всех серверов nginx.
> >
> > A> Хорошо ещё что exploit не вышел раньше патча(0day),
> > A> или может быть он где то и есть в привате..
> >
> > A> В lighttpd есть опция "server.tag" которое позволяет изменить
> > A> tag на все что угодно, жаль что nginx берет плохой пример с apache..
> >
> > можно легко отличить lighttpd от apache по порядку выдачи заголовков ответа.
> >
> > модификация заголовка Server: не поможет скрыть наличие lighttpd на сервере.
> >
> > --
> > Best regards,
> >  Gena
> >
> >
> >
> 
> 
> 
> -- 
> С уважением, Одинцов Павел



 




Copyright © Lexa Software, 1996-2009.