gildot

Topo
Sobre
FAQ
Tópicos
Autores
Preferências
Artigos
Sondagens
Propor artigo


8/3
gildicas
9/30
jobs
10/9
perguntas
10/25
press

 
SiteSeed com major security flaw
Contribuído por js em 17-04-02 13:11
do departamento código-disponível-é-bom
Bug daniel escreve "Boas! Vi agora isto no freshmeat e achei que dado tanto "fluff" sobre o dito, convinha informar a comunidade e ao mesmo tempo mostrar as virtudes (ou vicissitudes) do código com fonte disponível:
"Major security fix to holes discovered by João Gouveia (aka tharbad@kaotik.org). UPGRADE NOW! All Siteseed versions previous to 1.4.2 are vulnerable to remote exploits that can give remote users complete control over your machine."
"
[js: Justifica-se publicar a notícia dum bugfix? Normalmente não. Mas atendendo às polémicas aqui havidas em torno do siteseed, esta é uma notícia de especial interesse para a nossa comunidade. E serve para lançar algumas questões: Os projectos beneficiam de ter o código disponível mesmo sem serem OpenSource? E a comunidade, beneficia?]

X Box não pega? | Voz sobre Ip nos estates  >

 

gildot Login
Login:

Password:

Referências
  • polémicas aqui havidas
  • OpenSource
  • fonte original
  • Mais acerca Bug
  • Também por js
  • Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário.
    Off topic. (Pontos:1, Despropositado)
    por xeon em 18-04-02 0:15 GMT (#1)
    (Utilizador Info) http://pthelp.org
    Ena !

    O Tharbad ainda mexe :-)

    Um abraco, rapaz :-)

    --
    Reading the FM
    programação (Pontos:1, Despropositado)
    por Anonimo Cobarde em 18-04-02 1:22 GMT (#2)
    na ML do siteseed ainda se fala sobre mais e mais bugs que comprometem tudo e mais alguma coisa, existia um bug que permitia correr codigo php na maquina onde estava a pagina, pelo que o sr. PLS disse teve de por patches em quase todos os ficheiros php. eu já tinha olhado para o codigo do sr. PLS e só tenho de pergunta onde é que ele aprendeu a programar, o código dele é no mínimo horrivel, e a maneira como todo o siteseed está feito, já várias pessoas se pronunciarem sobre isso aqui no gildot, como o siteseed não era mais que um monte de pequenos scr1pts mal programados que trabalhavam juntos. o que me espanta é com tantos CMS bons que existem, os ppl da MrNet consegue vender aquela "coisa" a clientes importantes em Portugal.
    Re:programação (Pontos:1)
    por humpback em 18-04-02 15:45 GMT (#3)
    (Utilizador Info)
    E o preço daquilo? Que coisa ridicula, uma licença por cpu. Se eu fosse usar aquilo ficava mais barato comprar uma board nova e um cpu do que usar o meu dual p2. E ao menos ainda ficava com mais material em vez de ir engordar a conta bancaria daqueles senhores.
    Quanto a bugs/buracos de segurança penso que se o pessoal está atento e a trabalhar para remover os bugs isso é bom, existem muitos projectos 100% opensource e de utilização livre que "cagam" nos bugreports (para ja nao falar das empresas 100% closed source).

    Gustavo Felisberto
    72ef1d7183eb2ea89420b94c0cf3e1f1
    apt-get install anarchism
    Re:programação (Pontos:2)
    por mlopes em 18-04-02 17:20 GMT (#5)
    (Utilizador Info)
    Pela experiência que tive o esforço para resolver bugs não me pareceu assim tão grande!
    Pelo contrário as respostas que obtive foi basicamente mandarem-me à "merda devagarinho".

    "They that can give up essential liberty to obtain a little temporary safety deserve neither liberty nor safety."

    -- Benjamin Franklin, 1759
    Re:programação (Pontos:2)
    por NokiaMan em 18-04-02 19:58 GMT (#8)
    (Utilizador Info)
    Ok, faz lá tu melhor, as mudanças em quase todos os scr1pts php referiam-se á mudança dos includes por requires. Mas de qualquer maneira o exploit não tá cá fora e isso é bom, se bem que é facil de descobrir, é só brincar com o URL, mais não posso dizer.
    ------------------------------ - BigBrother is Watching You - ------------------------------
    Vale a pena? (Pontos:1)
    por BuBbA em 18-04-02 19:46 GMT (#6)
    (Utilizador Info) http://www.BuBix.net
    Uma pergunta que não esta directamente relacionada com o bug, mas sim com o seed em si.

    Vale a pena comprar uma licensa do dito programa? Não saía mais barato pagar a um puto que só vê programação à frente e que está em início de carreira?

    Do pouco tempo que "perdi" a debruçar-me sobre o seed deu para entender que é uma "coisita" ao estilo do PHPNuke(e amigos) mas mais maleável (se estiver enganado prometo voltar a ver!), pelo que não consigo compreender porque raio andam a gastar dinheiro em coisas um pouco banais e que deve haver bastantes pessoas com capacidade para fazer.

    Ou estou completamente errado?

    Re:Vale a pena? (Pontos:2)
    por NokiaMan em 18-04-02 19:55 GMT (#7)
    (Utilizador Info)
    Do pouco tempo que "perdi" a debruçar-me sobre o seed deu para entender que é uma "coisita" ao estilo do PHPNuke

    Não tem nada a ver com o phpnuke, olha bem para aquilo, eu não tenho muita expriencia com os nukes, mas o SS é no mínimo muito mas muito mais configuravel que o nuke.
    ------------------------------ - BigBrother is Watching You - ------------------------------
    Re:Vale a pena? (Pontos:0, Gozão)
    por BuBbA em 18-04-02 21:51 GMT (#10)
    (Utilizador Info) http://www.BuBix.net
    mas mais maleável

    :)

    Re:Vale a pena? (Pontos:2, Engraçado)
    por BuBbA em 19-04-02 1:20 GMT (#11)
    (Utilizador Info) http://www.BuBix.net
    Pontos:0 Gozão - ?

    Então eu apenas mostro ao moço que ja tinha dito que o Seed era mais configurável e sou gozão? As vezes não compreendo estas pontuações... Tipo, podiam ler antes de pontuar!

    Está tudo viciado? (Pontos:0, Interessante)
    por Anonimo Cobarde em 19-04-02 13:04 GMT (#13)
    Não conheço o Siteseed. Nunca instalei. Nunca vi o backoffice a funcionar ao vivo. Só conheço o que está no site. Não faço sites (compro feitos) e o meu interesse é mais no linux como hobby, por pura curiosidade e nada tem a ver com trabalho.

    O que me choca é que eu fui ver o site do Siteseed e GOSTEI do que vi. Gosto dos sites apresentados feitos no sistema. São bonitos diversificados em termos visuais. Agrada-me a ideia de Portugueses terem feito aquele sistema. Para já "parabéns".

    Fui ver a licença que tanta polémica despertou. Não acho nada má. Para utilizadores privados é mesmo excelente. Não percebo se dizem bem ou mal do código com razão, e do tal "sr PLS", que presumo seja o "Paulo Laureano", mas uma coisa é certa FIZERAM QUALQUER COISA e demonstram pelo menos a coragem de mostrar o que fizeram. Bom ou mau, só estar na www já é só por si notável.

    Quanto ao problema de segurança então estou mesmo estupefacto!!! Então eles próprios anunciam o problema, corrigem o dito cujo, dão crédito a quem o descobriu... não é isto que é sumposto acontecer? A postura parece-me correcta. Muito, mas muito mesmo, parecida com o que se passou com o PHP recentemente, e o bug não é "mais grave" do que era o do PHP, é a mesma coisa, compromete a máquina.

    Li aqui que o Siteseed não é nada de especial, e que qualquer um faz o mesmo. Ora, se isto até pode ser verdade, a realidade é que os tais "qualquer um" não estão a fazer a mesma coisa, ou se estão não o estão a mostrar.

    Tenho dito!

     

     

    [ Topo | FAQ | Editores | Contacto ]