server_tokens как убрать имя nginx из хедеров ? дало бы больше времени админам..

Maxim Dounin mdounin at mdounin.ru
Mon Sep 21 14:08:52 MSD 2009


Hello!

On Sun, Sep 20, 2009 at 01:22:34AM +0500, Одинцов Павел wrote:

> Эксплоит есть и рабочий, по кр мере на 38м работал :)

Что, эксплоит появился в публичном доступе?  На DoS или code 
execution?  В общем, дайте пруфлинк pls, можно в приват.  А то я 
как дурак сижу и даже скан по собственной сети не пускаю, дабы не 
светить лишнего...  :)

Maxim Dounin

p.s. Моя позиция по поводу server tokens, if anybody cares, 
сводится к следующему: сообщение неправильной и/или неполной 
информации в заголовке Server затрудняет работу собственных 
специалистов, но никоим образом не атакующего.  Ибо он просто 
попробует имеющиеся эксплоит'ы, а на заголовок Server вообще 
смотреть не будет.

> 
> 2009/9/19 Gena Makhomed <gmm at csdoc.com>:
> > On Saturday, September 19, 2009 at 14:56:02, Adrenalin wrote:
> >
> > A> Наличия опции которое бы давала возможность скрыть присутствие
> > A> "target" nginx-a дало бы больше времени админам исправить Последние
> > A> уязвимости как "allow remote attackers to execute arbitrary code"
> > A> http://www.kb.cert.org/vuls/id/180065
> >
> > server_tokens off
> >
> > скрывает присутствие "target" среди 11,502,109 всех серверов nginx.
> >
> > A> Хорошо ещё что exploit не вышел раньше патча(0day),
> > A> или может быть он где то и есть в привате..
> >
> > A> В lighttpd есть опция "server.tag" которое позволяет изменить
> > A> tag на все что угодно, жаль что nginx берет плохой пример с apache..
> >
> > можно легко отличить lighttpd от apache по порядку выдачи заголовков ответа.
> >
> > модификация заголовка Server: не поможет скрыть наличие lighttpd на сервере.
> >
> > --
> > Best regards,
> >  Gena
> >
> >
> >
> 
> 
> 
> -- 
> С уважением, Одинцов Павел







More information about the nginx-ru mailing list