(Virtualmente) todos los servidores web del mundo son vulnerables
seajob | 04 Enero, 2007 10:30
Aupa!
Pues, aunque parezca lo contrario, el título no es especialmente escandaloso: acaban de demostrar que si tienes un pdf albergado en tu servidor web y no has hecho nada especial para protegerte, eres vulnerable. Un pdf cualquiera, no uno especial, ni con permisos especiales -más allá que el de lectura-, y alguien que te quiera atacar ya puede ejecutar javascript en tu site, y alguna otra cosita...
La verdad es que no estoy nada puesto ni en javascript ni en vulnerabilidades en general, así que tampoco estoy seguro de qué puede hacerse o no, pero tiene muy mala pinta.
El mayor problema en este caso está en que en el servidor podemos hacer algo "feo" -obligar a que los pdf's se descarguen siempre-, pero el problema está en el adobe reader en conjunción con un navegador, y ahí el arreglo tiene mala pinta, porque lo tienen que hacer los usuarios.
Tech |
Siguiente | 
Anterior |
Comentarios (4) | 
Retroenlaces (0)
Comentarios
Los servidores no son vulnerables
manje | 04/01/2007, 13:09
No son vulnerables los servidores, sino los clientes (navegadores)
Concretamente es el plugin de Adobe que te permite ver el pdf dentro del navegador, y afecta a las versiones 7.x, no a las 8.x
En realidad ahora mismo cualquiera desde una página web puede tomar el control de quien visita la web.
Re: (Virtualmente) todos los servidores web del mundo son vulnerables
Seajob | 04/01/2007, 14:16
Y digo yo ¿no es AJAX javascript que se ejecuta en el cliente pero hace cosas en el servidor?
Y siendo así ¿no es eso un camino para que el servidor esté comprometido?
Aaaaaaaaaagur.
AJAX
manje | 05/01/2007, 19:48
Seajob, AJAX es un montón de cosas, no solo javascript, efectivamente el javascript se ejecuta en el cliente, pero no hace cosas en el servidor, sino que le pide al servidor que haga cosas. Igual que yo desde este navegador le pido al servidor que haga cosas (añadir un comentario).
El javascript del AJAX lo único que hace, aparte de lo que puede hacer javascript (cambiar cosas en la página, abrir nuevas ventanas, etc.) envía información al servidor y este le responde con información, pero el javascript no se ejecuta en el servidor, en el servidor se ejecuta lo que haya escrito el programador para manejar las peticiones AJAX.
Menú
buscar
calendario
| « | Enero 2007 | » | ||||
|---|---|---|---|---|---|---|
| Lu | Ma | Mi | Ju | Vi | Sa | Do |
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 | 31 | ||||
recientemente...
- Guía rápida para crear máquinas virtuales en Debian GNU/Linux con kvm
- Releyendo "Los desposeídos"
- Queremos software libre
- El senado americano es un nido de comunistas
- ¿No toda la pasta será para los bancos?
- Por fin alguien lo ha entendido
- ¿Por qué no hice huelga el pasado jueves 14?
- Reencuentro con Teresa Malina
- A lo mejor no entendemos Irán tan bien como pensábamos
- Cosas que hacer con sed (aunque sea viernes)
Del lado del cliente
r0sk | 04/01/2007, 11:53
Creo que la vulnerabilidad se aprovecha ó explota en la parte del cliente, puesto que si deshabilitas el visor PDF de tu navegador está todo solucionado.
No he visto nada relacionado con los servidores, pero igual me equivoco