Pull to refresh

Введен в строй сайт Perl.org — первые дыры (upd: уже заткнули)

Reading time 2 min
Views 826
upd5: Уязвимость ликвидировали, но топик удалять не буду, ибо обсуждение интересней топика :-)

Введен в строй новый сайт perl.org, полный пошлейших XSS дырок. Первая же проверка обнаруживает дыру!



Судя по заголовкам, хостится на каком-то старье:
Server: Apache/1.3.33 (Unix) mod_perl/1.29
Про дизайн я молчу, скриншот сделан в FF3, видны сразу два разъехавшися элемента.
Куда катится мир?? 8-O

Была у меня мысль написать этим кренделям, но дыр оказалось столько!.. просто на каждом шагу. Ну их, думаю, к бесу — могила их исправит.

upd Застыдили меня тут в комментариях, закарили, законфузили… и решил я писмо писать разработчикам. Уже некоторе время ищу на сайте куда писать. Пока не нашёл. Не могу не поражаться этому чудо-сайту. Всякие школные порталы нервно курят в сторонке.

upd2 Как связаться с разработчиками — так и не понял. Нашёл ветку на use.perl.org с обсуждением этой новости. Все писают кипятком и рассыпаются во взаимных поздравлениях. Чтобы написать — нужна регистрация. Я там регистрироваться не хочу. И я больше не хочу тратить вечер пятницы на то, чтобы копаться в этом гнезде дурачков (при всём уважении, слова другого нет). Если кто хочет — напишите этим товарищам. Спасибо.

upd3 Нет :-) Не отпускает меня :-) Заинтригованный многочисленныхми указаниями в комментариях, я провёл небольше исследование, каково родство perldoc.perl.org и perl.org. Оказалось, что вся эта перлокухня хостится на XXX.develooper.com. Обновления, похоже, затронули только сайты, расположенные на x3.develooper.com, да и то — не все. Так learn.perl.org явно обновился, обновился и dbi.perl.org, тогда как jobs.perl.org, planet.perl.org, dev.perl.org… похоже, не обновлялись, хотя расположены там же — на x3.develooper.com. Но самое главное — perldoc.perl.org расположен на x4.develooper.com и действительно далёк от живительных обновлений в перлоцарстве. Там же расположены cpan.perl.org, blob.perl.org и многое другое.

Итого: я должен покаяться. Дыра в perldoc.perl.org, по всей видимости, не является последствием обновлений, а является очень старой дырой. Интересно, её никто не замечал годами (перл на столько никого не интересует?? ,-)) или про неё знают, но не собираются исправлять??

Лично я потрясён. Как так можно?!!!

upd4 Отбой! Дырку заткнули :-) Оперативненько — пара часов — и готово! :-)
Tags:
Hubs:
+67
Comments 62
Comments Comments 62

Articles