The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Опубликован zero-day эксплоит для атаки на системы с панелью..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Опубликован zero-day эксплоит для атаки на системы с панелью..."  +/
Сообщение от opennews (??) on 06-Июн-13, 11:40 
В открытом доступе опубликован (http://seclists.org/fulldisclosure/2013/Jun/21) рабочий эксплоит (http://www.exploit-db.com/exploits/25986/), позволяющий (http://arstechnica.com/security/2013/06/more-than-360000-apa.../) выполнить произвольный код на  web-серверах, на которых установлена панель управления хостингом Plesk. Проблема проверена на системах с Plesk 8.6, 9.0, 9.2, 9.3 и 9.5.4, работающих под управлением Linux и FreeBSD (остальные системы не тестировались и возможно также являются уязвимыми). Уязвимость пока остаётся неисправленной. По предварительной оценке (http://www.shodanhq.com/search?q=plesklin) в Сети находится около 360 тысяч потенциально уязвимых серверов, на который установлена панель Plesk.


Уязвимость вызвана некорректной конфигурацией Apache, позволяющей напрямую обратиться  к любому приложению, размещённому в директории /usr/bin. Представленный эксплоит демонстрирует обращение к CLI-версии установленного в системе интерпретатора PHP. Переопределив управляющие  ограничениями настройки конфигурации PHP, открывается возможность выполнения произвольного внешнего PHP-скрипта с правами http-сервера Apache. Компания Parallels пока официально не отреагировала на уязвимость, для временной защиты разработчик эксплоита рекомендует удалить из конфигурации Apache устанавливаемую Plesk строку 'scrptAlias /phppath/ "/usr/bin/"', которая является источником проблемы.



URL: http://arstechnica.com/security/2013/06/more-than-360000-apa.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=37108

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  +/
Сообщение от Аноним email(??) on 06-Июн-13, 11:40 
Круто!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

50. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  +/
Сообщение от анон on 06-Июн-13, 17:39 
Да ладно, тут есть зеро-дей эксплойт для оффтопика всех версий 32бит.
В исходниках, значит open source, значит по теме. ;-)
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  +/
Сообщение от kshetragia (ok) on 06-Июн-13, 11:43 
Девятка больше не поддерживается. Восьмерка тоже.

http://www.parallels.com/ru/products/plesk/lifecycle

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  +1 +/
Сообщение от бедный буратино (ok) on 06-Июн-13, 11:46 
Что-то они рано красный свет повесили:

9 июня 2013

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  +/
Сообщение от anonymous (??) on 06-Июн-13, 11:46 
По вашей ссылке 9-ку перестанут поддерживать 9-го июня.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

7. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  –1 +/
Сообщение от kshetragia (ok) on 06-Июн-13, 11:58 
с учетом того, что уже шестое - я не соврал.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

3. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  +1 +/
Сообщение от бедный буратино (ok) on 06-Июн-13, 11:44 
> которая является источником проблемы.

Ох, не там вы, ребята, источник проблем ищете. Ох, не там.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  –1 +/
Сообщение от GoTLiuM email(ok) on 06-Июн-13, 11:57 
+100500))))
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

8. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  +/
Сообщение от анон on 06-Июн-13, 12:07 
о, да! до того как они переделали плеск на новую так называемую "бизнес модель" еще кое-как можно было мирится. Но сейчас это просто лютый п...ц.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

9. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  +/
Сообщение от анон on 06-Июн-13, 12:09 
не могу простить им того что "шелм" пожерили, он хотя и древнее г. мамонта то на голову выше по качеству и стабильности чем плеск.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  +1 +/
Сообщение от анон on 06-Июн-13, 12:11 
*Шлем (Helm)... простите, был взволнован
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  +1 +/
Сообщение от Аноним (??) on 06-Июн-13, 12:12 
Вот и ответ на вопрос как поимели линуксы :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  +2 +/
Сообщение от Аноним (??) on 06-Июн-13, 12:16 
Это как залезли объясняет. Вопрос о том, как апнули привилегии до рута, пока еще открыт.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

47. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  +/
Сообщение от Аноним (??) on 06-Июн-13, 17:06 
local root exploit ?
скопировать в /tmp/exploit.c и скомпилировать gcc, запустить

PROFIT!

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

49. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  +/
Сообщение от Аноним (??) on 06-Июн-13, 17:37 
> local root exploit ?
> скопировать в /tmp/exploit.c и скомпилировать gcc, запустить

Не могу найти exploit.c. Чтоделоц?

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

58. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  +/
Сообщение от all_glory_to_the_hypnotoad (ok) on 06-Июн-13, 21:03 
через какое-нибудь криво настроенное sudo или сам пых.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

70. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  +1 +/
Сообщение от Аноним (??) on 07-Июн-13, 09:01 
> через какое-нибудь криво настроенное sudo или сам пых.

Если некто пинает пых под рутом - там уже санитаров в пору вызывать. Для изоляции профнепригодного гражданина от общества.

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

16. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  –6 +/
Сообщение от бедный буратино (ok) on 06-Июн-13, 12:31 
Я бы вообще php в список официальных троянов поместил. Типа:

- Для linux есть вирусы?
- Да, php. Ставится с репозитория.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

18. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  +1 +/
Сообщение от EuPhobos (ok) on 06-Июн-13, 12:34 
Разве в этом PHP виноват?

https://github.com/search?p=3&q=extension%3Aphp+mysql_q...

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

22. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  +2 +/
Сообщение от Аноним (??) on 06-Июн-13, 12:47 
> Разве в этом PHP виноват?

Да просто буратино пыжится тут доказать что php oтстoй. Хотя факты указывают что скриптятину писаную абы кем - ломают на любом ЯП, массово и нагло. Но буратине неудобно замечать этот факт - он же пых обругать пытается. Вот за какую-то такую необъективность фанатов и не любят.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

24. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  +2 +/
Сообщение от Клыкастый (ok) on 06-Июн-13, 12:55 
всё правильно говоришь. только по факту что ни пыхер - то ходячее недоразумение. толковых спецов (как и везде) - немного.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

35. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  +3 +/
Сообщение от Аноним (??) on 06-Июн-13, 13:57 
> всё правильно говоришь. только по факту что ни пыхер -

Я бы уточнил: что ни скрипткидь - то раздолбай. Пример moin-moin, ruby и подобных модных-стильных-молодежных хорошо показывает.

И да, я думаю что если хреноту типа plesk и cpanel будут писать на другом ЯП, фреймворке, whatever - им это не сильно поможет. Потому что если общее качество продукта "ой, что это за крап?" - да как друзья вы не садитесь, а в музыканты не годитесь.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

37. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  –5 +/
Сообщение от бедный буратино (ok) on 06-Июн-13, 14:07 
>> всё правильно говоришь. только по факту что ни пыхер -
> Я бы уточнил: что ни скрипткидь - то раздолбай. Пример moin-moin, ruby
> и подобных модных-стильных-молодежных хорошо показывает.

moin-moin это не стильномолодёжный п..здец, а старый и абсолютно антипитоновский п...здец. Может быть, уязвимость заставит их пошелвелиться и начать уже думать.


> И да, я думаю что если хреноту типа plesk и cpanel будут
> писать на другом ЯП, фреймворке, whatever - им это не сильно
> поможет. Потому что если общее качество продукта "ой, что это за
> крап?" - да как друзья вы не садитесь, а в музыканты не годитесь.

Когда на каждый чих нужно делать костыль:

1. Это отвлекает
2. Это снижает элегантность и читаемость, а значит - усложняет поддержку
3. Это заставляет ненавидеть этот проект, и допускать ошибки уже чисто машинально
4. Изучение нужно делать не с кода, а с философии - тогда и глупости делать не будешь. А если этот этап пропущен, то и будешь делать не так, как правильно, а как с детства привык. В том же python писать неправильно хоть и можно, но сложно и очень больно. Мазохисты от php, конечно, смогут, но нормальные люди - нет. Сначала подготовка, осмысление import this, а затем - постоянное обучение, пока не познаешь "Единый Путь"TM Python, когда на всё есть не вагон решений разной степени сомнительности, а одно - верное.
5. Python - элегантный язык. А php - грязный. Мелочи многое решают.

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

43. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  +4 +/
Сообщение от Аноним (??) on 06-Июн-13, 14:50 
"Настоящий программист напишет фортрановскую программу на любом языке".
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

44. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  +8 +/
Сообщение от бццкийвордфильтр (ok) on 06-Июн-13, 14:57 
> Может быть, уязвимость заставит их пошелвелиться и начать уже думать.

При том, почему-то подавляющее большинство проектов на питоне - ничуть не лучше. Для начала, большинство их них просто страшные на вид и с массой проблем юзабилити. При этом все остальное - вообще уже до балды, одного этого достаточно чтобы проектом пользовались только под дулом пистолета.

> Когда на каждый чих нужно делать костыль:

Отмазки. Вообще, знаешь, по моим наблюдениям не так уж важно на чем подобная энтерпрайзятина пишется. Результат примерно одинаковый. Это вообще грабли иного плана - бизнес хочет потратить поменьше бабла и подороже продать. "Конец немного предсказуем".

Энтерпрайзятина не пишется для себя. Особенно закрытая. А как пишется софт на продажу - мы все догадываемся. Особенно в проприетарных поделиях, где вообще не предполагается что клиент будет в коде копаться.

> 4. Изучение нужно делать не с кода, а с философии - тогда

Тогда будешь много пи...ть на форумах и мало делать. Как буратино :). Не удержался от соблазна потроллить.

> 5. Python - элегантный язык. А php - грязный. Мелочи многое решают.

Они так элегантно совместимость факапят, что все мало-мальски давно существующие проекты уже давно и не по своей воле превратились в стремное месиво костылей. Кстати подозреваю что факап убунтуйского апдейтера связан с переходом с бидона 2 на 3. Там по этому поводу ему какие-то феерические по своей кривизне костыли подпихнули. В результате оно все-таки факапнулось несмотря на старания и корректно все-таки не работает.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

60. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  –1 +/
Сообщение от kshetragia (ok) on 07-Июн-13, 05:40 
> Отмазки. Вообще, знаешь, по моим наблюдениям не так уж важно на чем подобная энтерпрайзятина пишется. Результат примерно одинаковый. Это вообще грабли иного плана - бизнес хочет потратить поменьше бабла и подороже продать. "Конец немного предсказуем".
>Энтерпрайзятина не пишется для себя. Особенно закрытая. А как пишется софт на продажу - мы все догадываемся. Особенно в проприетарных поделиях, где вообще не предполагается что клиент будет в коде копаться.

Похоже ты не особо представляешь как пишутся проекты такого уровня и какие проблемы при этом возникают.

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

64. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  –1 +/
Сообщение от Аноним (??) on 07-Июн-13, 08:36 
Нет, дружок. Я в этом принимал участие. И вот именно поэтому я как раз очень хорошо себе представляю как все это происходит. И именно поэтому я никогда не буду пользоваться таким софтом для себя любимого - я себе не враг ;).
Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

27. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  –8 +/
Сообщение от бедный буратино (ok) on 06-Июн-13, 13:07 
>> Разве в этом PHP виноват?
> Да просто буратино пыжится тут доказать что php oтстoй.

Это не нужно доказывать, это очевидно всем, кто не совсем дебил и не совсем пыхер.


> Хотя факты указывают что скриптятину писаную абы кем - ломают на любом ЯП,

Простейший анализ показывает, что у php найдётся десяток проблем by design, которых в других средствах просто нет. php - это конвейер по изготовлению велосипедов на костылях. Потому что иначе или нивелируются все преимущества и оно становится слишком усложнённым, или оно вообще не поеедт.

У python есть официальный modus operandi - делать всё только одним способом. И на некоторые проекты даже беглого взгляда хватает, чтобы сказать ОЙ - это или legacy, которое писалось ещё на python 1.x, и до сих пор живёт в миру подпорок и хаоса, или писали вчерашние пыхеры, которые решили, что они установят свои правила вместо годами формировавшейся философии.


> массово и нагло. Но буратине неудобно замечать этот факт - он же
> пых обругать пытается. Вот за какую-то такую необъективность фанатов и не любят.

Дебилы никого не любят, даже себя. Они только и могут, что постоянно искать себе причину, а потом ею себя оправдывать.

И разумеется, дебилы будут до последнего стоять на том, что php лучше python. Не потому что php лучше python, а потому что дебилы. Или php-шники. Хотя иногода мне кажется, что между этими понятиями нет разницы.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

33. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  +/
Сообщение от pro100master (ok) on 06-Июн-13, 13:33 
вы ненавидите пых, как провинциалы попавшие в МСК ненавидят провинцию:)
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

34. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  –2 +/
Сообщение от бедный буратино (ok) on 06-Июн-13, 13:57 
> вы ненавидите пых, как провинциалы попавшие в МСК ненавидят провинцию:)

Я ненавижу всё, что сильно портит людям жизнь.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

36. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  +2 +/
Сообщение от Аноним (??) on 06-Июн-13, 13:58 
> Я ненавижу всё, что сильно портит людям жизнь.

Тогда ты должен возненавидеть себя, за свой неконструктивный ср@ч на форумах xD.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

48. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  +2 +/
Сообщение от Аноним (??) on 06-Июн-13, 17:36 
> Я ненавижу всё, что сильно портит людям жизнь.

Тогда ты должен ненавидеть питон. А по тебе этого что-то не заметно. Значит, все-таки делаешь исключения.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

41. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  +6 +/
Сообщение от бццкийвордфильтр (ok) on 06-Июн-13, 14:38 
> Это не нужно доказывать, это очевидно всем, кто не совсем дeбил и не совсем пыхeр.

Не, аксиомы от граждан с такими никами, уровнем квалификации и зашкаливающим фанатизмом мы как-нибудь на веру принимать не будем, извини.

> Простейший анализ показывает, что у php найдётся десяток проблем by design,

Не вижу какая именно проблема by design у пыха провоцировала столь странную и грабельную реализацию как в этой приблуде. А то что похожим образом можно лопухнуться и на чем-нибудь еще - успешно доказали и питонисты с moin-moin, и рубисты, и кого там я еще забыл.

> которых в других средствах просто нет. php - это конвейер по изготовлению
> велосипедов на костылях.

Как видишь, фэйлить можно и на других ЯП. Программит не ЯП, а программист.

> У python есть официальный modus operandi - делать всё только одним способом.

И этот способ - "через ж@пy"! Потому что ломать совместимость в практически каждой версии - за гранью добра и зла. Да и структура ЯП прозрачно намекает что заточен он на то чтобы даже самый отстойный быд.л.о.кодер мог на этом писать не очень мерзко выглядящие программы - форматировать их таки придется. Кого ставят в стoйло пинками? Ну наверное не профессионалов - те такое обращение не лю, и вообще не ннждаются в таких мерах. Поэтому на кого расссчитан этот ЯП - прекрасно видно. Вот такие им и пользуются. По программам на питоне это заметно, знаешь ли.

И что характерно - код на нем генерят под стать. Тот же moinmoin - обычный такой индусский быд.л.о.код, по его общему качеству. А хотя-бы и на питоне. На питоне можно генерить довольно мерзостный быд.л.о.код ничуть не хуже чем на чем-нибудь еще. Вон у убунтуев например в апдейтере с 12.10 на 13.04 оно не может найти новый релиз у себя под носом. Качество софта, чо - приходится самому позырить в скрипт, осознать что он делал, вручную отпедалить это - и вот тогда процесс апгрейда системы пойдет :). Это чо, не быдлокодинг в этом скрипте был? :)

> вчерашние пыхeры, которые решили, что они установят свои правила вместо годами
> формировавшейся философии.

Мы живем в реальном мире. Поэтому заявы что нечто является серебряной пулей - буллшит. На питоне понаписано много разных кривулек. То что на нем можно писать не криво - ну, знаешь, D.J. Berstein вон на "небезопасном" си отжог, написав программы без дыр. А у быдл.о.кодеров из moinmoin и на питоне тyпые дыры образовались. Я уж не знаю - вчерашние они пыхeры или нет, и для какой там оно версии питона писалось. Мне это не важно. Дело то не в ЯП, а в том кто им пользуется. Никакой ЯП программеру мозг не заменит.

> Дeбилы никого не любят, даже себя. Они только и могут, что постоянно
> искать себе причину, а потом ею себя оправдывать.

Вот ты уже нашел причину - пых. И атакуешь ветряные мельницы, создавая лишний шум. Которым уже изрядно утомил. Как по мне - "джамшутит" не инструмент, а тот кто им пользуется. Но да, прикольно видеть попытки подтасовать факты от фаната марки. Мол, а с инструментом нашей марки даже криворучка становится первоклассным спецом. Ну и что это как не маркетинговый буллшит? :)

> И разумеется, дeбилы будут до последнего стоять на том, что php лучше python.

Да, пых лучше питона. Знаешь почему? Пыхeры сидят в своей норке и не высовываются, пытаясь из себя что-то изобразить. Ну то-есть, форониксы всякие конечно пишут на оном мегабенчмарки системы, но это исключение а не правило. Сидит оно там в своей нише, на которую заточено - ну и славненько. А питон - вообще недоразумение. На веб изначально не заточен и потому нормальной вебни на нем нет. Полтора кастома черти-где - не считаются, их могут на чем угодно писать. И пишут. Как средство системной автоматизации питон полный шит - совместимость ломают постоянно. В этом его обходит даже bash. Как средство написания программ - тормоз неимоверный в дефолтной инкарнации. Да и программы при рапидной разработке глюкавые получаются. Вот и получается что на питоне написано много ... всякого булшита. И в этом он гораздо хуже любого php, где шит ограничился только вебней в основном.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

62. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  –1 +/
Сообщение от бедный буратино (ok) on 07-Июн-13, 05:50 
> совместимость ломают постоянно

Debian Woody, 2002 год. Пакет python2.2-examples. Открыл, наугад запустил несколько примеров, все работают.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

65. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  +/
Сообщение от Аноним (??) on 07-Июн-13, 08:38 
> все работают.

А теперь запусти их в свежей убунте, например. Где 2-й питон вроде как совсем выпилили. Остался только третий. Нафиг не совместимый с 2.х, не говоря уж о 2.2

А варианты вида "вы можете переписать полскрипта" - да пошли вы нафиг. В этом вся ваша гадюка - быстро налабать, а потом долго мучаться вообще со всеми возможными проблемами которые в принципе могут быть в программировании. От паршивой производительности до несовместимости между версиями.

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

69. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  –2 +/
Сообщение от бедный буратино (ok) on 07-Июн-13, 08:54 
>> все работают.
> А теперь запусти их в свежей убунте, например. Где 2-й питон вроде
> как совсем выпилили. Остался только третий. Нафиг не совместимый с 2.х,
> не говоря уж о 2.2

python 2 и python 3 - совершенно разные ветки. нигде python 2 не "выпилили", лобзика не хватит. он до сих пор мейнстрим и до сих пор поддерживается, и даже задумываются о более длительной его поддержке.

чушь про то, что где-то нет python2, даже обсуждать не хочется. лично мне python 3 не нужен, а за год до прекращения поддержки уж как-нибудь за год потихоньку перепишу, если сильно понадобится.


> А варианты вида "вы можете переписать полскрипта" - да пошли вы нафиг.

полскрипта переписывает 2to3, если уж совсем нужно.

Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

73. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  +2 +/
Сообщение от Аноним (??) on 07-Июн-13, 09:11 
> python 2 и python 3 - совершенно разные ветки.

Слишком длинный вариант фразы "свое г...но не пахнет". Не обязательно свои мантры повторять по ...цать раз. Софт или надо переписывать/костылить, или нет. А галимые фанатские отмазки себе оставь.

> нигде python 2 не "выпилили", лобзика не хватит.

Из дефолтной инсталляции его IIRC выкинули, так что куча бидонятины как раз сломалась, всем на радость.

Только недавно видел - некто накорябал скрипт на питоне 2. Вывалил. Ну и полгода жил себе безбедно. А тут убунта 13.04 - без питона 2 совсем. Автора уже заманали багрепортами "а твоя хреновина что-то не работает?!". И теперь у него шикарный выбор - или смириться с постоянной долбежкой мозга такими репортами, которая будет только усугубляться, или переписать половину хреновины.

> он до сих пор мейнстрим и до сих пор поддерживается, и даже задумываются о более
> длительной его поддержке.

Ну да, это по донкихотовски - сначала создать проблемы, а потом героически их решать.

> чушь про то, что где-то нет python2, даже обсуждать не хочется.

Это не чушь, это реально подсмотренный пример поимения мозга автору скрипта на питоне 2 со стороны юзвергов новых систем, лол :)

> лично  мне python 3 не нужен, а за год до прекращения поддержки
> уж как-нибудь за год потихоньку перепишу, если сильно понадобится.

К счастью, это уже не мои проблемы.

>> А варианты вида "вы можете переписать полскрипта" - да пошли вы нафиг.
> полскрипта переписывает 2to3, если уж совсем нужно.

Что же питонисты тогда так страдают по этому поводу, если все так замечательно? :)

Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

75. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  –1 +/
Сообщение от бедный буратино (ok) on 07-Июн-13, 09:23 
>> python 2 и python 3 - совершенно разные ветки.
> Слишком длинный вариант фразы "свое г...но не пахнет". Не обязательно свои мантры
> повторять по ...цать раз. Софт или надо переписывать/костылить, или нет. А
> галимые фанатские отмазки себе оставь.

Чтобы понять, что это разные ветки, можно провести простой анализ. А можно даже на цифры посмотреть. Кстати, php4 и php5 это тоже сильно разные ветки. Но в php софт дружно отваливается даже на переходе с php5.2 до php5.3 :)

>> он до сих пор мейнстрим и до сих пор поддерживается, и даже задумываются о более
>> длительной его поддержке.
> Ну да, это по донкихотовски - сначала создать проблемы, а потом героически их решать.

python 2 нужен одной категории людей. python 3 нужен другой категории людей. лично мне python 3 не нужен. мне python 2 нравится больше.


>> полскрипта переписывает 2to3, если уж совсем нужно.
> Что же питонисты тогда так страдают по этому поводу, если все так замечательно? :)

Потому что есть ещё и расширения на C, и другие нюансы. А в некоторых моментах - нужно вообще изменить мышление, и думать другими категориями объектов.

ps. Пересказывать интернет я не хочу. Там всё написано. Имеющий желание - легко найдёт и буквари, и видеоролики.

Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

81. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  +2 +/
Сообщение от Аноним (??) on 07-Июн-13, 09:56 
> Чтобы понять, что это разные ветки, можно провести простой анализ. А можно
> даже на цифры посмотреть. Кстати, php4 и php5 это тоже сильно
> разные ветки. Но в php софт дружно отваливается даже на переходе с php5.2 до php5.3 :)

На PHP как правило не пишут системную автоматизацию/скрипты, десктопные программы и прочие значки в трее. Поэтому вред от него лимитирован одной конкретной нишей. А от питона вот эта ср@нь может попасться в куда большем количестве областей. Больше поводов его ненавидеть, имхо :)

> python 2 нужен одной категории людей. python 3 нужен другой категории людей.
> лично мне python 3 не нyжен. мне python 2 нравится больше.

Тебя, как ты понимаешь, спросить забыли. Будет большинство дистров по дефолту 3-й поставлять - и или ты просто не сможешь ничего релизнуть для публики вообще, или тебе юзерье мозг склюет "ой, а чего это оно не работает?". Процесс уже начался - первые недоуменные морды юзерей такого плана я уже видел. Да что там, эти грабли уже в первый раз въехали в лоб лично мне - убунтуи при смене версий питона сломали свой апдейтер, до состояния когда мне пришлось самому смотреть что оно пыталось сделать и отпедаливать это вручную. Обалдеть системная автоматизация. И почему я не должен ненавидеть тех криворучек которые не могут безглючно написать даже тул которые делает пяток простых действий? Ну там скачать список, скачать из него файл, проверить GPG подпись, запустить. Я вообще не понимаю - как можно столь простую задачу так глюкаво реализовать. И главное сколько лет этой дряни - оно столько лет и глючит. Правда вот последние 2 года глючит совсем непотребно. Ну в общем последствия разработки во всей красе...

>> Что же питонисты тогда так страдают по этому поводу, если все так замечательно? :)
> Потому что есть ещё и расширения на C, и другие нюансы. А в некоторых
> моментах - нужно вообще изменить мышление, и думать другими категориями объектов.

Ну так это одна из существенных претензий - очень нестабильная в плане фич хренота. На которой понаписали крапа, а теперь от этого одни мучения везде. За что-то такое я питонистов и не жалую - гемора от них много.

> Имеющий желание - легко найдёт и буквари, и видеоролики.

Это пусть адепты вьюжлбэйсика ищут. Как раз для них средства обучения.

Ответить | Правка | ^ к родителю #75 | Наверх | Cообщить модератору

82. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  –1 +/
Сообщение от бедный буратино (ok) on 07-Июн-13, 10:04 
>> python 2 нужен одной категории людей. python 3 нужен другой категории людей.
>> лично мне python 3 не нyжен. мне python 2 нравится больше.
> Тебя, как ты понимаешь, спросить забыли. Будет большинство дистров по дефолту 3-й  поставлять

У python есть конкретный план развития, и все дистрибутивы на него всю жизнь равнялись. С чего бы кто-то стал сознательно убирать python 2, на котором написаны тысячи модулей - я даже не представляю. Вероятность такого события считаю нулевой.


> - и или ты просто не сможешь ничего релизнуть для публики вообще,

http://nuitka.net/

и virtualenv

Ответить | Правка | ^ к родителю #81 | Наверх | Cообщить модератору

63. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  –1 +/
Сообщение от бедный буратино (ok) on 07-Июн-13, 05:55 
> Дело то не в ЯП, а в том кто им пользуется. Никакой ЯП программеру мозг не заменит.

По такой логике, неважно, на чём ездить, на жигулях или на бмв. Неважно, что есть.

Но есть одна маленькая деталь - когда разработчик вместо проблем разработки решает проблемы языка, он отвлекается и совершает дополнительные ошибки.  В Вилларибо уже построили рабочий экземпляр и теперь оптимизируют слабые места и ищут ошибки, а в Виллабаджо всё стучат по клавишам, пытаясь разобрать полученный код и успеть хоть к какому-то сроку.

Я 9 лет писал разные странички на php и 2 года на python, и точно вижу, что (как минимум, для меня) на python писать намного удобнее, намного проще и намного быстрее. Не думаю, что другие люди принципиально от меня отличаются.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

66. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  +1 +/
Сообщение от Аноним (??) on 07-Июн-13, 08:47 
> По такой логике, неважно, на чём ездить, на жигулях или на бмв. Неважно, что есть.

В каком-то роде так и есть: олух который не умеет водить, но полез кататься - раздолбает жигуля и бэху до куска металлолома совершенно одинаково. А приемщикам металлолома все-равно, бэха это была или жигуль: они металл по весу принимают, а кем он был сделан им вообще совсем не интересно :).

> Но есть одна маленькая деталь - когда разработчик вместо проблем разработки решает
> проблемы языка, он отвлекается и совершает дополнительные ошибки.

Нормальный пыхапэшник по моим наблюдениям уже давно берет какой-нибудь мощный популярный фреймворк, где большинство проблем более-менее заделано, баги удавлены и прочая. А под питон даже с этим опа-zope'а. По поводу чего нормальную вебню на питоне найти вообще очень проблематично. Есть полтора кастомных экспоната у пары корпораций, ну и все. Что прозрачно намекает что нечто вменяемое на этом можно сделать только обладая ресурсами "как у гугла".

Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

71. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  –1 +/
Сообщение от бедный буратино (ok) on 07-Июн-13, 09:02 
>> По такой логике, неважно, на чём ездить, на жигулях или на бмв. Неважно, что есть.
> В каком-то роде так и есть: олух который не умеет водить, но
> полез кататься - раздолбает жигуля и бэху до куска металлолома совершенно
> одинаково. А приемщикам металлолома все-равно, бэха это была или жигуль: они
> металл по весу принимают, а кем он был сделан им вообще совсем не интересно :).

По такой логике, неважно, на чём ездить, на жигулях или на бмв. Но это не так.

Никто не пересядет с бмв на жигули (кроме Путина).


> Нормальный пыхапэшник по моим наблюдениям уже давно берет какой-нибудь мощный популярный
> фреймворк, где большинство проблем более-менее заделано, баги удавлены и прочая.

Фреймворк, во-первых, сразу выключает php из "легко изучать, легко развернуть", и начинающие php-разработчики не пишут на них, это сложно. (в отличие от python, где на bottle даже домохозяйка сможет блог написать).

Во-вторых, это всё иллюзия, иллюзия представить, что php - это на самом деле ruby или python, и там всё по-взрослому. Но это не так, они работают совершенно по-разному, и что в python делается элементарно (by design), в php бъёт этой иллюзией по лбу.

Лично мне причины выбирать фреймворк на php и изучать кучу нового, вместо того, чтобы выбрать фреймворк на python/ruby/node, изучить кучу нового плюс изучить новый принцип построения веб-приложений (и разом получить все преимущества) - непонятны. Ну перерос ты песочницу и <?php hello(); ?> - ну и бери нормальный инструмент, а не пытайся к надувной удочке приделать колёса, и, закрыв глаза, считать это автомобилейм. Детство или кончилось, или нет, вместе не бывает.

Я ещё раз повторю главную мысль - никто не переезжает с python, ruby, node на php. Обратное - сплошь и рядом. И все остальные попытки спорить с частностями, игнорируя основное - это придирки, и сути они не изменят.

Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

76. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  +1 +/
Сообщение от Аноним (??) on 07-Июн-13, 09:29 
> По такой логике, неважно, на чём ездить, на жигулях или на бмв. Но это не так.

Скажем так, хороший водитель на жигулях - лучше чем идиoт на бэхе. А идиoты на бэхах которые права себе купили - встречаются чаще чем на жигулях, потому что если кто купил только жигуля - то и на права у него денег нет, он по крайней мере относительно честно выучит ПДД и таки сдаст экзамен. За это чрезмерно крутых многие водилы недолюбливают как раз. Те у кого много понта обычно являют собой опасность или проблемы для окружающих.

> Никто не пересядет с бмв на жигули (кроме Путина).

Скорее, проблема в том кто чаще всего за рулем попадается. Если по накопленной статистике за рулем наиболее крутой модели бэхи часто попадаются идиoты - ты завидев очередную драндулетину такой марки поневоле отнесешься к ней с осторожностью, понимая что за рулем скорее всего вот такое. Ну вот и тут как-то так же. По накопленной статистике за "рулем" как правило обычные быдлoкодеры и кривoручки.

> Фреймворк, во-первых, сразу выключает php из "легко изучать, легко развернуть",

Ну да, спору нет - блондинкам нравится "легко изучать". А то что они потом в ответственных ситуациях газ и тормоз путают, таряня других или сшибаая пешеходов как кегли - за это участники движения их и не любят. Вреда от таких участников движения многовато.

> где на bottle даже домохозяйка сможет блог написать).

Домохозяйке лучше заниматься домохозяйством. А если уж кто полез писать бложики - пусть нормально учится это делать. Иначе получится очередная вырвиглазина, дырявая и убогая. Потом еще и спам с этого сервака полетит. А оно надо?

> так, они работают совершенно по-разному, и что в python делается элементарно
> (by design), в php бъёт этой иллюзией по лбу.

Что-то существующие продукты не подтверждают этот тезис. Что-то дельное на питоне смогли сделать полторы корпорации. У остальных это как правило столь вырвиглазная наколенщина что вообще слов нет.

> и, закрыв глаза, считать это автомобилейм. Детство или кончилось, или нет,
> вместе не бывает.

Прикольная попытка подтасовки понятий взрослости. Вот только замена одного ЯП на другой еще никого взрослее не сделалаю

> Я ещё раз повторю главную мысль - никто не переезжает с python,
> ruby, node на php. Обратное - сплошь и рядом.

Ну так это... наиболее е...тые скрипткидисы думают что если заменить массовый инструмент на что-нибудь поэкзотичнее, модное-стильное-молодежное, для пи...сов голубых кровей - это сразу даст им +20 к их крутизне. А по факту - наблюдаемый выхлоп от этой активности ни на какие особые достижения не претендует.

А так то да, если все сначала писали только на пыхе - логично что НА пых переходить не будут по чисто технической причине. За практически полным отсутствием внятных проектов для веба на чем-то еще.

Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

74. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  –2 +/
Сообщение от бедный буратино (ok) on 07-Июн-13, 09:18 
> По поводу чего нормальную вебню на питоне найти вообще очень проблематично. Есть полтора кастомных экспоната у пары корпораций, ну и все.

Из сайтов, которые я регулярно посещаю, на php ровно 2. Один из них - wikipedia, которая постоянно просит деньги на новые серверы (у них явно проблема с php и с mysql). Сайтов на python и ruby, даже если не брать в расчёт мои собственные, я посещаю явно больше двух. Как минимум, youtube и launchpad.

ps. Some well known sites that use Django include Pinterest,[5] Instagram,[6] Mozilla,[7] The Washington Times,[8] and the Public Broadcasting Service.[9]


> Что прозрачно намекает что нечто вменяемое на этом можно сделать только обладая ресурсами "как у гугла".

Я тут недавно почитал форум по php. "Быстрая и простая настройка" php включает в себя кучу кэшей и кучу изменений, чтобы достичь хоть какой-то скорости. Ковыряние в неинтересной ерунде. Скорость python-приложений "из-коробки" меня устраивает гораздо больше.

Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

77. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  +1 +/
Сообщение от Аноним (??) on 07-Июн-13, 09:42 
> них явно проблема с php и с mysql).

Странно, почему же питонисты и рубисты до сих пор не написали свое, в 5 раз лучше? Может, не так все просто в этой жизни? Кэп намекает что работа с большими объемами данных и обслуживание всей планеты - целая отдельная наука :). И, кстати, у википедии не так уж и много серверов - они как и все нормальные люди используют кеширование, так что пых и мускул на большинство запросов вообще не дергаются, если что :). Поэтому они и справляются с обслуживанием относительно небольшой группы серверов относительно небольшой группой админов. У того же гугля инфраструктура для обслуживания всей планеты намного масштабнее, со своими датацентрами опром и прочая.

> Сайтов на python и ruby, даже если не брать в расчёт мои собственные, я
> посещаю явно больше двух. Как минимум, youtube и launchpad.

В ютубе основной хевилифтинг делает отнюдь не питон. Там вообще роль скриптового бэкэнда на серваке невелика. Было б это не так - оно бы от нагрузки издохло нафиг, даже у гугеля. А ланчпад - грузится через раз после каждого выпуска убунты. И что характерно - оба проекта - довольно крупных контор, с миллионами зелени. Остальным видимо написать что-то работающее и на питоне и поддерживать это - вообще слабо.

> ps. Some well known sites that use Django include Pinterest,[5] Instagram,[6] Mozilla,[7]
> The Washington Times,[8] and the Public Broadcasting Service.[9]

Пока бидонисты и прочие рубисты понтуются пятком сайтов, пэхопэ настолько сожрал рынок что никому и в бошку не приходит подсчет вести.

Буржуи про это говорят: "500-pound gorilla does not needs buzz".

> какой-то скорости. Ковыряние в неинтересной ерунде.
> Скорость python-приложений "из-коробки" меня устраивает гораздо больше.

Что те что другие - скриптотормозилки. Какая там у питона скорость? Он обычный интерпретер в его дефолтной инкарнации. С чего он там скорость разовьет? С эффекта плацебо у фанатика? :)

Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

80. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  –1 +/
Сообщение от бедный буратино (ok) on 07-Июн-13, 09:52 
> Он обычный интерпретер в его дефолтной инкарнации. С чего он там скорость разовьет?

С того, что php при каждом соединении умирает и оживает заново, выстраивая всё окружение, а python просто работает. Даже для банального кеширования нужен отдельный сервер, к которому при каждом запуске нужно поднимать или хотя бы подбирать коннекцию.

Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

83. "Опубликован zero-day эксплоит для атаки на системы с..."  +1 +/
Сообщение от arisu (ok) on 07-Июн-13, 10:42 
> С того, что php при каждом соединении умирает и оживает заново

в криокамерах научились и деревяшки замораживать? O_O

Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

84. "Опубликован zero-day эксплоит для атаки на системы с..."  –1 +/
Сообщение от бедный буратино (ok) on 07-Июн-13, 10:44 
>> С того, что php при каждом соединении умирает и оживает заново
> в криокамерах научились и деревяшки замораживать? O_O

Можно увидеть пример передачи глобальной переменной, которая всё время находится в памяти?

Ответить | Правка | ^ к родителю #83 | Наверх | Cообщить модератору

85. "Опубликован zero-day эксплоит для атаки на системы с..."  +/
Сообщение от arisu (ok) on 07-Июн-13, 11:10 
>>> С того, что php при каждом соединении умирает и оживает заново
>> в криокамерах научились и деревяшки замораживать? O_O
> Можно увидеть пример передачи глобальной переменной, которая всё время находится в памяти?

можно узнать, какое это отношение имеет к «при каждом соединении умирает и оживает заново»? твоя фраза понимается однозначно: «делает cold restart». это не так, это всего лишь один из возможных режимов.

ну, и вопрос, конечно, великолепен. к счастью, *такие* грабли пых не позволяет.

Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору

86. "Опубликован zero-day эксплоит для атаки на системы с..."  +/
Сообщение от бедный буратино (ok) on 07-Июн-13, 11:34 
> можно узнать, какое это отношение имеет к «при каждом соединении умирает и
> оживает заново»? твоя фраза понимается однозначно: «делает cold restart».
> это не так, это всего лишь один из возможных режимов.

Всё, вспомнил. Тут я, конечно, неправ.

> ну, и вопрос, конечно, великолепен. к счастью, *такие* грабли пых не позволяет.

Так и бегает, постоянно поднимая-опуская данные, коннекции и прочее? Туда-сюда, туда-сюда? :)

Ответить | Правка | ^ к родителю #85 | Наверх | Cообщить модератору

88. "Опубликован zero-day эксплоит для атаки на системы с..."  +1 +/
Сообщение от arisu (ok) on 07-Июн-13, 12:16 
>> ну, и вопрос, конечно, великолепен. к счастью, *такие* грабли пых не позволяет.
> Так и бегает, постоянно поднимая-опуская данные, коннекции и прочее? Туда-сюда, туда-сюда?
> :)

вот в отличие от любимых конфигов гвидобейсика пых не занимается предоставлением веб-сервера. а если тебе нужен какой-то persistent state — так и храни его в чём-то наподобие redis или memcached.

всё равно «для веба» что пых, что гвидобейсик, что нодажыэс — ущербны примерно одинаково. потому что без first class continuations писать вебню неудобно.

Ответить | Правка | ^ к родителю #86 | Наверх | Cообщить модератору

91. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  +/
Сообщение от Клыкастый (ok) on 21-Июн-13, 18:45 
> С того, что php при каждом соединении умирает и оживает заново,

И апач и php-fpm с вами отчаянно несогласны.
На данный момент надо целенаправленно собирать схему, в которой будет именно так.

> Даже для банального кеширования нужен отдельный сервер,

apc не видел?

Не, дружище, ты как-то совсем уже напраслину пошёл гнать и сим палишься, что не знаешь того, что так жёстко критикуешь. Посему собирать тебе минуса даже от тех, кому пых может и не нравится, но просто в теме.

Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

19. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  +/
Сообщение от Аноним (??) on 06-Июн-13, 12:34 
а причём тут PHP? scrptAlias /phppath/ "/usr/bin/" это же apache
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

25. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  –6 +/
Сообщение от бедный буратино (ok) on 06-Июн-13, 12:59 
> а причём тут PHP? scrptAlias /phppath/ "/usr/bin/" это же apache

Потому что php - родина костылей.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

51. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  –1 +/
Сообщение от Аноним (??) on 06-Июн-13, 17:39 
>> а причём тут PHP? scrptAlias /phppath/ "/usr/bin/" это же apache
> Потому что php - родина костылей.

Костыли существовали задолго до PHP и вообще IT.

А конкретно в юниксовом программировании они были впервые массово внедрены борн-шеллом.
Начиная с того, что интерактивный шелл начали пересобачивать в интерпретируемый ЯП.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

54. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  –4 +/
Сообщение от бедный буратино (ok) on 06-Июн-13, 17:51 
>>> а причём тут PHP? scrptAlias /phppath/ "/usr/bin/" это же apache
>> Потому что php - родина костылей.
> Костыли существовали задолго до PHP и вообще IT.
> А конкретно в юниксовом программировании они были впервые массово внедрены борн-шеллом.
> Начиная с того, что интерактивный шелл начали пересобачивать в интерпретируемый ЯП.

Автор парадигмы "откроем все окна, потому что так у нас получается взлететь" - именно php.

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

68. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  +/
Сообщение от Аноним (??) on 07-Июн-13, 08:54 
> Автор парадигмы "откроем все окна, потому что так у нас получается взлететь"
> - именно php.

Очень спорное утверждение. Тем более что в PHP средств для работы с окнами штатно вроде как совсем нет, IIRC :P

Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

72. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  –1 +/
Сообщение от бедный буратино (ok) on 07-Июн-13, 09:03 
> Очень спорное утверждение. Тем более что в PHP средств для работы с
> окнами штатно вроде как совсем нет, IIRC :P

Есть. php.exe и apache.exe. Именно оттуда php получает основной заряд сырости. :)

Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

78. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  +1 +/
Сообщение от Аноним (??) on 07-Июн-13, 09:45 
Python.exe тоже бывает, так что не аргумент.
Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

79. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  –1 +/
Сообщение от бедный буратино (ok) on 07-Июн-13, 09:48 
> Python.exe тоже бывает, так что не аргумент.

Бывает, кто ж спорит.

Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

21. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  +3 +/
Сообщение от Аноним (??) on 06-Июн-13, 12:45 
Что-то moin-moin не сильно помогло что он на питоне. Массовый взлом все-равно состоялся. Да и ruby вон вздрючили в соседней новости не хуже. Может, дело не в бобине, а в том кто в кабине?
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

29. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  +/
Сообщение от Аноним (??) on 06-Июн-13, 13:08 
Вот и ответ, почему не нужно загаживать свою свободную систему пропритарным мусором.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

17. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  +2 +/
Сообщение от Аноним (??) on 06-Июн-13, 12:33 
> строку 'scrptAlias /phppath/ "/usr/bin/"', которая является источником проблемы.

Гениальная идея, однозначно! Хакеры оценили по заслугам :)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  +1 +/
Сообщение от Аноним (??) on 06-Июн-13, 12:34 
>> строку 'scrptAlias /phppath/ "/usr/bin/"', которая является источником проблемы.
> Гениальная идея, однозначно! Хакеры оценили по заслугам :)

Удивительно другое - почему это никто не заметил сразу.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

23. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  +3 +/
Сообщение от Аноним (??) on 06-Июн-13, 12:48 
> Удивительно другое - почему это никто не заметил сразу.

Наверное потому что коммерческими проприетарными продуктами пользуются те кто думает что достаточно заплатить денежку и будет чики-пуки. А оказывается при этом могут впарить черти-что, писанное черти-как. Happens!

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

28. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  +3 +/
Сообщение от Аноним (??) on 06-Июн-13, 13:08 
Plesk на лету передаёт настройки Apache через специальный модуль, базовые файлы конфигурации Apache не меняются. Поэтому строку нужно искать в потрохах Plesk, а не в конфигах Apache.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

26. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  +7 +/
Сообщение от Адекват on 06-Июн-13, 13:05 
> Уязвимость вызвана некорректной конфигурацией Apache, позволяющей напрямую обратиться  к любому приложению, размещённому в директории /usr/bin.

так вот зачем, оказывается
>Дистрибутив Arch Linux осуществил перенос всех исполняемых файлов в /usr/bin

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  +1 +/
Сообщение от 1 (??) on 06-Июн-13, 13:19 
FreeBSD и PHP в /usr/bin ?

Это в 11 версии так ?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

61. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  +/
Сообщение от kshetragia (ok) on 07-Июн-13, 05:43 
> FreeBSD и PHP в /usr/bin ?
> Это в 11 версии так ?

http://kb.parallels.com/en/113818

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

89. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  +/
Сообщение от 1 (??) on 07-Июн-13, 12:59 
>> FreeBSD и PHP в /usr/bin ?
>> Это в 11 версии так ?
> http://kb.parallels.com/en/113818

И где там про FreeBSD ?

Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

90. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  +/
Сообщение от kshetragia (ok) on 07-Июн-13, 14:36 
>>> FreeBSD и PHP в /usr/bin ?
>>> Это в 11 версии так ?
>> http://kb.parallels.com/en/113818
> И где там про FreeBSD ?

Во фразе:
"Parallels's End of Life policy is available here: http://www.parallels.com/products/plesk/lifecycle"

Ответить | Правка | ^ к родителю #89 | Наверх | Cообщить модератору

38. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  –1 +/
Сообщение от Аноним (??) on 06-Июн-13, 14:22 
Я так и не понял, где искать эту строку.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

39. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  –1 +/
Сообщение от Аноним (??) on 06-Июн-13, 14:29 
ахах Apache прекрати

eval() Apache ^_^

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

40. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  +/
Сообщение от бедный буратино (ok) on 06-Июн-13, 14:34 
> ахах Apache прекрати
> eval() Apache ^_^

причём здесь apache, это костыли для пыха.

если сделать вход по пустому паролю через ssh, и поломают - это явно не ssh будет виноват.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

42. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  +1 +/
Сообщение от Аноним (??) on 06-Июн-13, 14:44 
такое можно сделать так же с Ruby и Python если разрабы плевали
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

45. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  +1 +/
Сообщение от Аноним (??) on 06-Июн-13, 15:03 
> такое можно сделать так же с Ruby и Python если разрабы плевали

ИЧСХ, делали. Если отпустить тормоз и в новости неподалеку проследовать. Прямо на опеннете. И вам массовые взломы сайтов с ruby, и вам массовое поимение moinmoin, и что там блин еще.

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

59. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  –2 +/
Сообщение от all_glory_to_the_hypnotoad (ok) on 06-Июн-13, 21:07 
именно такое на питоне сделать трудно, ибо не юзааются питоновский веб через апачевские костыли-интерпретаторы.
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

52. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  +2 +/
Сообщение от Аноним (??) on 06-Июн-13, 17:42 
> если сделать вход по пустому паролю через ssh, и поломают - это явно не ssh будет виноват.

Очевидно, и в этом случае виноват будет PHP. Просто потому, что буратина любит питон и ненавидит его конкурентов. (Хотя с точки зрения нормальных людей, php vs python - это "игра была равна - играли два г*на".)

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

53. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  –3 +/
Сообщение от бедный буратино (ok) on 06-Июн-13, 17:49 
>> если сделать вход по пустому паролю через ssh, и поломают - это явно не ssh будет виноват.
> Очевидно, и в этом случае виноват будет PHP.

Не php, а пыхер. Это в их духе - совершать такие ошибки.


> Просто потому, что буратина любит питон и ненавидит его конкурентов. (Хотя с точки зрения нормальных людей, php vs python - это "игра была равна - играли два г*на".)

Конкуренты python - это, прежде всего, ruby и javascript. И они мне очень нравятся (точнее, мне нравится не js, а coffeescript).

Сравнивать php с python будет или ушибленный на голову, или никогда не заглядывающий в репозитории приличных дистрибутивов.

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

55. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  +/
Сообщение от Аноним (??) on 06-Июн-13, 17:57 
> Конкуренты python - это, прежде всего, ruby и javascript. И они мне
> очень нравятся (точнее, мне нравится не js, а coffeescript).

Dart, Ceylon, Go, Opa, Fantom, Zimbu, X10, Chapel

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

56. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  –1 +/
Сообщение от бедный буратино (ok) on 06-Июн-13, 18:02 
> Dart, Ceylon, Go, Opa, Fantom, Zimbu, X10, Chapel

Я написал "прежде всего". И предназначенные для практических задач сегодня (а что будет завтра, лично мне неизвестно - мне не докладывали), имеющие много модулей и много пользовательского опыта.

Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

67. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  +1 +/
Сообщение от Аноним (??) on 07-Июн-13, 08:52 
> заглядывающий в репозитории приличных дистрибутивов.

Спасибо, в убунте я уже заглянул - апдейтер переписали с питона 2 на 3. После чего он сломался самую малость - потерял умение систему апгрейдить. Сущие мелочи.

И чем этот эпический г@внокод отличается от остальных наколенных поделий?

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

57. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  +2 +/
Сообщение от Аноним (??) on 06-Июн-13, 18:27 
похоже просто другой способ использовать прошлую PHP дырку CVE-2012-1823 (http://www.php.net/archive/2012.php#id2012-05-03-1) по поводу которой Parallels отписывался раньше http://kb.parallels.com/en/113818 - снова PHP, снова CGI
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

87. "Опубликован zero-day эксплоит для атаки на системы с панелью..."  +/
Сообщение от Аноним (??) on 07-Июн-13, 11:39 
Начинать программировать нужно с Кнута, а уже потом пряники.. На рынке труда вакуум в которой порой засасывает домохозяек.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру