StatCounter Update.sh corrige vulnerabilidades

- Jan Jan
- 27 27
StatCounter Update.sh corrige vulnerabilidades
Postado por chaoskaizer.myopenid.com 10 meses, 1 semana atrás.
Filed under Security & vulnerability . Arquivado em Segurança e vulnerabilidade.
- Increase text size Aumente o tamanho do texto
- Decrease text size Diminuir o tamanho do texto
Gianni Amato encontrada uma vulnerabilidade no StatCounter que podem expor ip2location log de dados e conta credenciais.
The Vulnerability A Vulnerabilidade
A vulnerabilidade existe em statcounters backup diário dentro utils diretório onde o arquivo update.sh residem.
- googlecache: *. statcounter.com / utils / update.sh
Excerpt from Giani Amot: Trechos de Giani Amot:
O servidor onde o backup do registro dos últimos três dias estão situados está mal definida. O acesso de todos os diretórios do servidor é gratuito, incluem "utils" diretório que contém um script arquivo chamado "update.sh" dentro das quais se situam o usuário e senha para entrar e fazer o download da base de dados de log ip2location.com
Update.sh
```
 cd /home/ip2location cd / home/ip2location 

 /usr/bin/curl --data 'login=webmaster@statcounter.com&password=kOFr3VTh' 'http://www.ip2location.com/download.aspx?productcode=db6bin' > /home/ip2location/ipdb_current.bin.zip / usr / bin / curl - dados' login e senha = = webmaster@statcounter.com kOFr3VTh '' http://www.ip2location.com/download.aspx?productcode=db6bin '> / home/ip2location/ipdb_current.bin.zip 

 rm /home/ip2location/ipdb_new.bin rm / home/ip2location/ipdb_new.bin 

 unzip -p /home/ip2location/ipdb_current.bin.zip *.BIN > /home/ip2location/ipdb_new.bin unzip-p / home/ip2location/ipdb_current.bin.zip *. BIN> / home/ip2location/ipdb_new.bin 

 if [ "$?" if [ "$?" -ne "0" ]; then -ne "0"]; então 

  echo "Sorry, new ip_db archive isn't valid!" echo "Desculpe, ip_db novo arquivo não é válido!" 

  exit 1 saída 1 

 fi 

 mv /home/ip2location/ipdb_new.bin /home/ip2location/ipdb.bin mv / home/ip2location/ipdb_new.bin / home/ip2location/ipdb.bin 

 rm /home/ip2location/ipdb_current.bin.zip rm / home/ip2location/ipdb_current.bin.zip 

 /bin/cp /home/ip2location/ipdb.bin /mnt/rd/ipdb.bin / bin / cp / home/ip2location/ipdb.bin / mnt / rd / ipdb.bin 
```
htaccess workaround htaccess contorno
coloca o seguinte. htaccess código dentro statscounter / utils / diretório
```
 #deny access to any file with *.sh filetypes # negar acesso a qualquer arquivo com o arquivo *. sh 
 <Files ~ "^\.sh"> <Files ~ "^\.sh"> 
  Order allow,deny Ordem permitir, negar 
  Deny from all Negar a partir de todos os 
  Satisfy All Todos satisfazer 
 </Files> </ Files> 

 #Deny request for *.log & comment files # Negar pedido para comentar arquivos *. log & 
 <Files ~ "^.*\.([Ll][Oo][Gg]|[cC][oO][mM][mM][eE][nN][tT])"> <Files ~ "^.*\.([Ll][Oo][Gg]|[cC][oO][mM][mM][eE][nN][tT])"> 
  Order allow,deny Ordem permitir, negar 
  Deny from all Negar a partir de todos os 
  Satisfy All Todos satisfazer 
 </Files> </ Files> 
```
password protected directories senha diretórios protegidos
```
 AuthType Basic AuthType Basic 
 AuthName "restricted area" AuthName "zona restrita" 
 AuthUserFile /usr/local/etc/.htpasswd-allusers AuthUserFile / usr / local / etc / .htpasswd-allusers 
 require valid-user utilizador válido requerer - 
```
Nota: Você precisará modificar o arquivo AuthUserFile senha localização, dependendo do seu servidor de configurações.
External Resources Recursos externos
- Giani Amato → Se Fossi um monitorare Statcounter.com tu?
- Giani Amato → Se tu Fossi um monitorare Statcounter.com »Traduções Inglês
About the Author Sobre o Autor
Tags: Tags:
- Rated 3 3 Classificados
- January 27, 2008 at 1:11 pm 27 de janeiro de 2008 às 1:11 pm
- February 3, 2008 at 11:48 am 3 de fevereiro de 2008 às 11:48 am
- 0.3 0,3
- url
- N º Responses to "StatCounter Update.sh Correções Vulnerabilidade"
  Trackback URL: Trackback URL: Use o TrackBack url ↑ ping para este artigo. Se o seu blog não suporta Trackbacks você pode querer deixar um comentário em seu lugar.
- Comment Policy Política comentário
  RE: StatCounter Update.sh Correções de Vulnerabilidade - 'The Guide' ↓
  StatCounter Update.sh Vulnerabilidade Correções Kakkoi 10 meses, 1 semana atrás 5 url
  A seguinte "Código" são concebidos para proteger você e outros usuários deste site.
  Ser relevante: Seu comentário deve ser um pensativo contribuição ao assunto da entrada. Mantenha os seus comentários construtivos e educado.
  Nenhuma publicidade ou spam: Não use o recurso de comentário de promover a entidades comerciais / produtos, serviços ou sites afiliados. Você está autorizado a publicar uma ligação enquanto ele é relevante para a entrada.
  Manter dentro da lei: Não link para sites conteúdo ofensivo ou ilegal. Não faça qualquer comentário difamatório ou depreciar o que poderia prejudicar a reputação de uma pessoa ou organização.
  Privacidade: Não publique informações pessoais relativas a si mesmo ou de qualquer outra pessoa - (ie: endereço, local de trabalho, telefone ou endereço de e-mail ou número de telemóvel).
  A fim de manter estas experiências agradável e interessante para todos os nossos usuários, nós pedimos que você siga as diretrizes acima.
  be the first to comment. ser o primeiro a comentar.
  Sinta-se livre para participar, fazer perguntas, e diga-nos o que você está pensando! Regular e perspicazes comentários são mais bem acolhido.
"escrever como se você estivesse conversando com um bom amigo (na frente de sua mãe)."
.have your say . a tua opinião

Name (required) Nome (obrigatório)
Email (required, will not be published) E-mail (obrigatório, não será publicado)
Website Website
Aviso Importante: Para qualquer conteúdo que você postar, você decide conceder a Kakkoi a título gratuito, irrevogável, perpétuo, exclusiva e integralmente sublicenciável para utilizar, reproduzir, modificar, adaptar, publicar, traduzir, criar obras derivadas, distribuir, executar e exibir tal conteúdo, no todo ou em parte, em todo o mundo e para integrá-la em outras obras, de qualquer forma, mídia ou tecnologia atualmente conhecida ou posteriormente desenvolvida. Alguns direitos reservados.

MySQL query erro