Re: [ml] Apache core bug?

Panagiotis Atmatzidis wrote:
> On 25 ÎÎÎ 2008, at 3:07 ÎÎ, Ti wrote:
>> Relativamente all'hardening, per cercare di prevenire e contenere si
>> puo` iniziare con grsecurity (http://www.grsecurity.net/)
> 
> Apparte il fatto che questo tipo di hardening, credo, sia scontatto x la
> maggior parte della lista, anche questa puo essere aggirata, o sbaglio? [1]


Non credo sia tanto scontato, non per tutti.
Il fatto che siano note delle vulnerabilita`, per alcune versioni della
patch, non significa che usare grsecurity sia inutile. Anche perche` se
prendiamo come esempio quella postata da te (Bugtraq ID 28889), essa si
riferisce a RBAC che e` solo una parte di grsecurity. In ogni caso,
l'obiettivo e` quello di fare sicurezza in profondita`, al meglio delle
possibilita`, rendere le cose quanto piu` difficile all'attacker. Credo
che in questo senso grsecurity faccia bene il suo lavoro. D'altra parte
e` scontato dire che non esiste una sicurezza al 100%.


> Per i commenti, sul genere del thread FUD o non FUD. A me sempra molto
> interessante come thread: Se a qualcuno non interesse puo marcarlo come
> "read" sul suo mail client. Per il momento e' possibile spartire
> informazioni di questo genere. Cosi chi ha interesse, prende le
> contromisure adatte (lighttpd, etc).


Come contromisura lighttpd? lol
Si parla di una potenziale vulnerabilita` la cui esistenza e` ancora
dubbia e la soluzione sarebbe passare ad un altro server web? Come se
poi si avesse la certezza che l'altro server sia sicuro al 100%. 0day
per 0day che senso ha cambiare server?

saluti,
	Francesco Matarazzo