Взломы moin-moin

[@cachealot]

Обидно за moin-moin

[@vsespb]

hg.moinmo.in/moin/1.9/rev/3c27131a3c52

(-) Вообще не проверялось имя файла.
(+) Функция проверки имени файла была, но её забыли вызвать.
(-) К фиксу не написали тест.

[@stan_jeremy]

Если быть точнее то вот коммит с фиксом hg.moinmo.in/moin/1.9/rev/7e7e1cbb9d3f, уязвимости в трех местах, правда в зависимости от включенного функционала :) Правда с аттачем все включено в 100% случаях.

[@stan_jeremy]

PS единственный вопрос, который не задавался — какие у них права ставятся по дэфолту на загруженные файлы, если достаточно не ставить +x на него? это же им не пхп :)

[@shushu]

А разве не питон файл загружался, который потом выполнялся веб-сервером?

[@stan_jeremy]

ну да, а как этому файлу проставлялись права на исполнение?) я бы сказал что для исполнения уязвимости нужны довольно специфические настройки вебсервера.

docs.python.org/2/howto/webservers.html

цитата:

The Python script is not marked as executable. When CGI scripts are not executable most web servers will let the user download it, instead of running it and sending the output to the user. For CGI scripts to run properly on Unix-like operating systems, the +x bit needs to be set. Using chmod a+x your_script.py may solve this problem.

единственный вариант который приходит на ум — у них стоял mod_python с дэфолтными настройками

[@equand]

gunicorn и supervisor для другого пользака, права только на его директорию…