Nginx-ru mailing list archive (nginx-ru@sysoev.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: server_tokens как убрат ь имя nginx из хедеров ? дало бы больше време ни админам..
Hello!
On Sun, Sep 20, 2009 at 01:22:34AM +0500, Одинцов Павел wrote:
> Эксплоит есть и рабочий, по кр мере на 38м работал :)
Что, эксплоит появился в публичном доступе? На DoS или code
execution? В общем, дайте пруфлинк pls, можно в приват. А то я
как дурак сижу и даже скан по собственной сети не пускаю, дабы не
светить лишнего... :)
Maxim Dounin
p.s. Моя позиция по поводу server tokens, if anybody cares,
сводится к следующему: сообщение неправильной и/или неполной
информации в заголовке Server затрудняет работу собственных
специалистов, но никоим образом не атакующего. Ибо он просто
попробует имеющиеся эксплоит'ы, а на заголовок Server вообще
смотреть не будет.
>
> 2009/9/19 Gena Makhomed <gmm@xxxxxxxxx>:
> > On Saturday, September 19, 2009 at 14:56:02, Adrenalin wrote:
> >
> > A> Наличия опции которое бы давала возможность скрыть присутствие
> > A> "target" nginx-a дало бы больше времени админам исправить Последние
> > A> уязвимости как "allow remote attackers to execute arbitrary code"
> > A> http://www.kb.cert.org/vuls/id/180065
> >
> > server_tokens off
> >
> > скрывает присутствие "target" среди 11,502,109 всех серверов nginx.
> >
> > A> Хорошо ещё что exploit не вышел раньше патча(0day),
> > A> или может быть он где то и есть в привате..
> >
> > A> В lighttpd есть опция "server.tag" которое позволяет изменить
> > A> tag на все что угодно, жаль что nginx берет плохой пример с apache..
> >
> > можно легко отличить lighttpd от apache по порядку выдачи заголовков ответа.
> >
> > модификация заголовка Server: не поможет скрыть наличие lighttpd на сервере.
> >
> > --
> > Best regards,
> > Gena
> >
> >
> >
>
>
>
> --
> С уважением, Одинцов Павел
|