Страница 1 из 2 12 ПоследняяПоследняя
Показано с 1 по 10 из 12

Тема: Проблемы безопасности продуктов ispsystem

  1. #1
    Junior Member Аватар для AlexGur
    Регистрация
    02.03.2021
    Сообщений
    18

    Exclamation Проблемы безопасности продуктов ispsystem

    Есть вопросы к сотрудникам ispsystem, которые ответственны за информационную безопасность продуктов. Сходу можно назвать две претензии: ненадёжные пароли и ПО с уязвимостями. Разберём по порядку.

    Ненадёжные пароли

    В форме регистрации Billmanager 6 (клиентская тема, НЕ "orion") генерируется 8 (восьми) значный пароль при регистрации вне зависимости от настроек панели и значения директивы PWStrength.

    Директивы PWGenLen и PWGenCharacters не работают в пользовательском интерфейсе Billmanager 6 и ISPmanager Business 5 (тема Dragon, возможно, и в 6-ой версии продукта та же проблема).

    Директивы PWGenLen и PWGenCharacters не влияют на пароли, которые устанавливаются для услуг (к примеру, при создании хостинга через ISPmanager Business).

    Проблеме с ненадёжными паролями почти 10 (десять) лет: https://forum.ispsystem.ru/showthrea...manager)/page2

    ПО с уязвимостями

    В кластерах ISPmanager Business 5 (+CloudLinux - CentOS 7) используется OpenSSH 3 (трёх) летней давности, в которой уже нашли и классифицировали по CVE две уязвимости.

    Я не говорю, что надо менять мажорную версию ПО. Достаточно обновить до ближайшей, у которой уязвимостей нет. Конечно, можно придраться к уровню уязвимостей, их опасности. Но при их наличии сразу появляется множество желающих проверить сервер на прочность с помощью автоматических скриптов metasploit. Подопытным быть не хочется.

    Ситуация с уязвимостями критическая. Напомню, что несколько месяцев назад я попросил через тикет в техподдержку обновить NGINX, в котором нашли и уже классифицировали уязвимости по CVE. Его обновили, спасибо. А сейчас я создал тикет с запросом обновить OpenSSH, в котором стали известны ещё две CVE.

    Мне несложно вести мониторинг и просить вас делать вашу работу. Но если я пропущу один раз или задержусь с написанием тикета, то все ваши клиенты будут под ударом. Напомню случай с компанией Sony. Их PlayStation Network была взломана из-за того, что Apache не обновлялся 4 (четыре) месяца. А у нас OpenSSH не обновляется три года.

    Просьба

    Пожалуйста, отнеситесь ответственнее к информационной безопасности. Стоит нанять специалистов, которые будут следить за ситуацией с CVE и оперативно обновлять ПО. Ну, и 8 значные пароли в Billmanager 6... сами понимаете ...
    Последний раз редактировалось AlexGur; 17.08.2021 в 15:42.

  2. #2
    Senior Member Аватар для Lazek
    Регистрация
    04.06.2008
    Сообщений
    959

    По умолчанию

    Специалист по безопасности всея рунета))

  3. #3
    Member
    Регистрация
    26.06.2019
    Сообщений
    63

    По умолчанию

    Цитата Сообщение от Lazek Посмотреть сообщение
    Специалист по безопасности всея рунета))
    Вы знаете точно так смеялись на форуме Vesta в. 2018 году. Потом когда у смеющихся взломали сервера им чего то не до смеха стало.

  4. #4
    Senior Member Аватар для Lazek
    Регистрация
    04.06.2008
    Сообщений
    959

    По умолчанию

    Цитата Сообщение от Yariksat Посмотреть сообщение
    Вы знаете точно так смеялись на форуме Vesta в. 2018 году. Потом когда у смеющихся взломали сервера им чего то не до смеха стало.
    Вы знаете что есть базовые практики обеспечения безопасности инфраструктуры?)) Упаси господь, слава Богу весту вижу только у клиентов))

  5. #5
    Member
    Регистрация
    26.06.2019
    Сообщений
    63

    По умолчанию

    Цитата Сообщение от Lazek Посмотреть сообщение
    Вы знаете что есть базовые практики обеспечения безопасности инфраструктуры?))
    К ним относятся восьми значные генерируемые пароли? То есть исходя из базовых практик безопасности это нормально?

  6. #6
    Senior Member Аватар для Lazek
    Регистрация
    04.06.2008
    Сообщений
    959

    По умолчанию

    Цитата Сообщение от Yariksat Посмотреть сообщение
    К ним относятся восьми значные генерируемые пароли? То есть исходя из базовых практик безопасности это нормально?
    1. Цитату, пожалуйста, где 8 символов считается не безопасным?)) P.S. не забываем читать рекомендации от RedHat если уж на другую более детальную документацию чего-то не хватает)

    2. Что мешает использовать автоматическое заполнение полей паролями, которые допустим генерирует тот же iCloud?) Тут полагаю что вопрос финансов судя по всему))

    В тему по BILLmanager подъехали любители бесплатных панелей))
    Последний раз редактировалось Lazek; 19.08.2021 в 12:09.

  7. #7
    Member
    Регистрация
    26.06.2019
    Сообщений
    63

    По умолчанию

    По первому пункту на практике за три недели сбрутили пароль и взломали сервер. Практически 90% не меняют никогда пароль,пользуются тем что сгенерировала система.

  8. #8
    Junior Member Аватар для AlexGur
    Регистрация
    02.03.2021
    Сообщений
    18

    По умолчанию

    Цитата Сообщение от Yariksat Посмотреть сообщение
    Практически 90% не меняют никогда пароль,пользуются тем что сгенерировала система.
    Подтверждаю. Специально наблюдал за регистрацией пользователей в "вебвизор" Яндекс метрики. Клиенты почти всегда жмут на генерацию пароля. Получают свой 8 значный пароль, входят и никогда не меняют. Только один из двадцати клиентов догадывается удлинить сгенерированный пароль.

    Могу предположить, что делать 8 знаковый генератор решил сделать верстальщик новой клиентской версии Billmanager 6. И то ради демонстрации функции, предполагая что программисты потом разберутся и добавят символов и сложности. Но программисты оставили как есть и не стали вообще прописывать вывод значений директив PWGenLen и PWGenCharacters в шаблон. И если бы верстальщик поставил 4 или 5 значные пароли, то сейчас бы они и создавались.

    Сотрудники технической поддержки отвечают мне:

    Все задачи решаются в порядке внутреннего приоритета. Мы понимаем важность данного направления и приложим все усилия для кратчайшего решения вопроса
    Товарищи форумчане, проблеме с директивами PWGenLen и PWGenCharacters уже 10 лет https://forum.ispsystem.ru/showthrea...manager)/page2

    Пожалуйста, прошу вас всех, напишите тикеты от своего лица в техническую поддержку. Когда-то же должен быть поднят приоритет проблемы 8 значных паролей. Если уж и есть ненастраиваемый генератор паролей на сайте, то он должен быть адекватным, выдавать минимум 16 знаков с символами. Но в идеале надо уже починить директивы PWGenLen и PWGenCharacters, чтобы можно было задать сложность самостоятельно.

  9. #9
    Senior Member Аватар для Lazek
    Регистрация
    04.06.2008
    Сообщений
    959

    По умолчанию

    Цитата Сообщение от AlexGur Посмотреть сообщение
    Подтверждаю. Специально наблюдал за регистрацией пользователей в "вебвизор" Яндекс метрики. Клиенты почти всегда жмут на генерацию пароля. Получают свой 8 значный пароль, входят и никогда не меняют. Только один из двадцати клиентов догадывается удлинить сгенерированный пароль.

    Могу предположить, что делать 8 знаковый генератор решил сделать верстальщик новой клиентской версии Billmanager 6. И то ради демонстрации функции, предполагая что программисты потом разберутся и добавят символов и сложности. Но программисты оставили как есть и не стали вообще прописывать вывод значений директив PWGenLen и PWGenCharacters в шаблон. И если бы верстальщик поставил 4 или 5 значные пароли, то сейчас бы они и создавались.

    Сотрудники технической поддержки отвечают мне:



    Товарищи форумчане, проблеме с директивами PWGenLen и PWGenCharacters уже 10 лет https://forum.ispsystem.ru/showthrea...manager)/page2

    Пожалуйста, прошу вас всех, напишите тикеты от своего лица в техническую поддержку. Когда-то же должен быть поднят приоритет проблемы 8 значных паролей. Если уж и есть ненастраиваемый генератор паролей на сайте, то он должен быть адекватным, выдавать минимум 16 знаков с символами. Но в идеале надо уже починить директивы PWGenLen и PWGenCharacters, чтобы можно было задать сложность самостоятельно.
    Вы к кому обращаетесь то?)) Человек выше не способен платить за ISPmanager по новым ценам, не говоря уже о стоимости BILLmanager))

    P.S. писать не буду))

  10. #10
    Member
    Регистрация
    26.06.2019
    Сообщений
    63

    По умолчанию

    Цитата Сообщение от Lazek Посмотреть сообщение
    Вы к кому обращаетесь то?)) Человек выше не способен платить за ISPmanager по новым ценам, не говоря уже о стоимости BILLmanager))

    P.S. писать не буду))
    Прикольно. Я где то писал о своей неплатежи способности?
    Вы наверно не внимательно читаете
    Цитата Сообщение от Yariksat Посмотреть сообщение
    По первому пункту на практике за три недели сбрутили пароль и взломали сервер. Практически 90% не меняют никогда пароль,пользуются тем что сгенерировала система.
    Но Вам это простительно...
    Последний раз редактировалось Yariksat; 19.08.2021 в 22:35.

Метки этой темы

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •