Warum SVN,git etc. nichts auf einem Live-System zu suchen hat.

Kommentieren Oct 02 2009

 

Ich sage das schon immer, dass so was nicht sein soll. Am Anfang war es einfach nur ein Ordnungs Gefühl und um unötigen Müll auf dem Live-System zu vermeiden.
Dann kamen die Sicherheitsbedenken dazu.

Nun kommts dicke !

A few months ago, Anton Isaykin in collaboration with the company 2comrades discovered a serious security problem that is quite typical of big projects (we do not name names here). To test it, they obtained the file structures and even the source code of about 3320 Russian websites and some major English-language websites. Serious problems like this aren’t supposed to exist nowadays. Every serious or visible exploit is found and fixed quickly. But here we will show you something simple and ordinary yet quite dangerous.

What was found is not actually a vulnerability because it’s documented. What we really wanted to show is that major websites and even unique services are affected (SM can’t list them, sorry). That shows again that bad developer habits is the most dangerous vulnerability we can imagine.



Worum geht es da genau ?

Wenn man zb. SVN auch dazu benutzt die Website auf dem aktuellsten Stand zu halten und einfach einen Checkout in das Webroot macht und dann nicht an die Sicherheit denkt, hat ein Problem.

Denn mit der Standarteinstellung kann man die Einträge in .svn einsehen. !BAM!
In einer .svn/entries steht so manches das es einem leichter macht illegale Dinge zu tun.

Dann kommt aber noch so was:
>> .svn/text-base/index.php.svn-base

Damit wird der source code unangetastet angezeigt. !BAM!

Nun denn, rann an den Speck und fixxen…..

SVN Server Admin Issue: Fix It!

Banana out.