JRuDevels

Jabber Russian Developers Forum.
Log in Register FAQ Memberlist Search JRuDevels Forum Index

JRuDevels Forum Index » Серверная часть [Server-Side] » Узвимости Ejabberd
Post new topic  Reply to topic View previous topic :: View next topic 
Узвимости Ejabberd
PostPosted: Sun Jan 22, 2006 6:10 pm Reply with quote
Hex@
Guest




Если какая информация по уязвимостям данного сервера? Кто-нибудь уже ковырял эту штуку?
Гуглинг ничего по взлому этих серваков не дал, всякие секурные сайты тоже что-то пусты..

В моем случае реципиент - ejabberd/0.9.8 - по крайней мере так клиент говорит.

Или проще не морочится или залезть с других дырок (там еще апач и профтпд)? Кстати, пароль админский криптуется у сервера или так хранится?

Понимаю - скажете поставить и посмотри, но что-то ломает - там говорят какая-то экзотика жестокая в плане языка.
Re: Узвимости Ejabberd
PostPosted: Mon Jan 23, 2006 6:38 am Reply with quote
j2a
Разработчик
Разработчик
Joined: 25 Jul 2005
Posts: 124
Location: Омск




Hex@ wrote:
Если какая информация по уязвимостям данного сервера? Кто-нибудь уже ковырял эту штуку?
Гуглинг ничего по взлому этих серваков не дал, всякие секурные сайты тоже что-то пусты..

Я тоже погуглил перед тем как ставить, но для другой цели -- оценить насколько ломаемая штука.

Если только искать уязвимости, присущие erlang в целом, а не ejabberd в частности...

Quote:
В моем случае реципиент - ejabberd/0.9.8 - по крайней мере так клиент говорит.

Или проще не морочится или залезть с других дырок (там еще апач и профтпд)?

Похоже на то Smile

Quote:
Кстати, пароль админский криптуется у сервера или так хранится?

Собсно в БД Mnesia похоже что нет, т.е. по идее, получив доступ к БД можно и все пароли стырить. Трафик до веб-интерфейса ходит нешифрованным (чистый http). Если перехватывать jabber-трафик, то он вполне может быть шифрованным.

Quote:
Понимаю - скажете поставить и посмотри, но что-то ломает - там говорят какая-то экзотика жестокая в плане языка.

Угу. Это одна из причин, что проще поискать другие методы, чем проделывать аудит ежи.

_________________
:Wq
Not an editor command: Wq
View user's profile Send private message Send Jabber-message Visit poster's website HabaHaba - Fast communicate
PostPosted: Mon Jan 23, 2006 4:24 pm Reply with quote
Hex@
Guest




Ну кто-то же должен быть первым.

Неужель буржуины еще не пошшупали за потное вымя этот продукт. Совсем обленились - им бы только защиты с ДВД снимать да дырки в виндах искать.

Наверное сделаю так - попробую протиснуться через что-то попсовое, а там на месте поковыряю на рабочей машине ентот ежжаберд. Вивисекцию короче учиню жестокую.

Про эрланг почитаем канечно.
Блин, они бы еще на Руби какаом-нить написали. Извращенцы. Smile
PostPosted: Thu Feb 01, 2007 4:36 pm Reply with quote
Arioch
Бывалый Жабовод
Бывалый Жабовод
Joined: 17 Jan 2007
Posts: 97




в рассылках и багтракерах ejabberd и J-EAI должны быть сообщения об исправленных дырках. Причем на моей памяти были. ищи Smile
View user's profile Send private message Send Jabber-message Visit poster's website
PostPosted: Thu Feb 01, 2007 4:44 pm Reply with quote
leksey
Графоман
Графоман
Joined: 17 Dec 2004
Posts: 1909
Location: Москва, Тушино




Arioch wrote:
в рассылках и багтракерах ejabberd и J-EAI должны быть сообщения об исправленных дырках. Причем на моей памяти были. ищи :-)

Кстати, при моей скромной помощи тоже какую-то дырку нашли. Когда поняли в чем суть и репродуцировали ее, все немного переполошились. :-)
View user's profile Send private message Send Jabber-message Visit poster's website HabaHaba - Fast communicate
PostPosted: Fri Feb 02, 2007 4:21 pm Reply with quote
j2a
Разработчик
Разработчик
Joined: 25 Jul 2005
Posts: 124
Location: Омск




Ну ты бы хоть ссылку какую дал на этот баг, чтобы мы просвятились

_________________
:Wq
Not an editor command: Wq
View user's profile Send private message Send Jabber-message Visit poster's website HabaHaba - Fast communicate
PostPosted: Fri Feb 02, 2007 4:25 pm Reply with quote
leksey
Графоман
Графоман
Joined: 17 Dec 2004
Posts: 1909
Location: Москва, Тушино




J2A wrote:
Ну ты бы хоть ссылку какую дал на этот баг, чтобы мы просвятились

А я что-ли знаю, что это за баг. Мне Настя сказала, что у-жжажасный. :-) Ну или я уже преувеличиваю важность своей находки.

Если описывать его словами, то там была ситуация, когда в результате каких-то действий с клиентом, сервер (по идее так) брал и обнулял пароль.
View user's profile Send private message Send Jabber-message Visit poster's website HabaHaba - Fast communicate
Узвимости Ejabberd
JRuDevels Forum Index » Серверная часть [Server-Side]
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
All times are GMT + 3 Hours  
Page 1 of 1  

  
  
 Post new topic  Reply to topic  


Powered by phpBB © 2001-2004 phpBB Group
phpBB Style by Vjacheslav Trushkin