Владимир,
> НЕ СМЕШИТЕ. Этот "баг" обсуждался не раз - потому что ушлые
>линухоманы от нечего делать стали постить просто History от
>CGatePro как "найденные баги". И было об"яснено публично,
>почему не будет никаких securty updates. Могу и Вам об"яснить
>- $1000 здесь и сейчас - за возможность повторить этот баг.
Он обсуждался в списках рассылки? А что мне делать, если я
увидел, что такой баг есть в базе уязвимостей, которой
пользуется самый распоследний специалист по ЗИ? У Stalker есть
раздел на сайте посвященный багам, их описанию и где они
закрыты? Или каждый раз в History ползать и пытаться
вычислить?
С другой стороны Вы всегда можете сказать - пользоваться
последней стабильной версией ПО и будете правы.
> Путем случайного совпадения многих причин, этот баг (да, он
>там был) был обнаружен - полную грязь прислали на LIST
>модуль. И на одной конкретной платформе это могло привести к
>тому - именно та конкретная грязь - что сервер на ней упадет.
> Это не эксплойт, это не дыра в секурити, это некий таки баг
>в модуле вставки подписей в LIST. Может, за 10 лет кто-то еще
>раз сможет сделать такую же грязь, которая приведет к такому
>же падению. Ну и?
Спасибо за информацию.
> Это всё, что Вы нашли из "неисправленных в старых версиях
>багах"? Спасибо, вы подтвердили мою мысль.
Есть еще "GET /DomainFIles/*//../../../some/file" для версии
старее 4.0.3. Но это совсем получается древность.
> Да. И что? По сравнению со стандартным для индустрии 40%
>maintenance в год 18% - это опять же дешево, и опять я борюсь
>за то, чтобы не поднимать. Вон, даже фирма г-на М.Жулика,
>"Красная Шапочка" - не слышали про такую? - берет много
>больше. За свой "бесплатный софт". А мы вроже не жулики,
>сделанный хрен знает кем хрен знает как софт - за деньги вам
>не продаем.
В этом вопросе Я не хотел Вас задеть :) Разве что в чем то
ошибся?
-- Kind regards, Konstantin A. MikhailovПолучено Wed Oct 12 09:30:26 2005
Этот архив был сгенерирован hypermail 2.1.8 : Tue 21 Feb 2006 - 03:17:15 MSK