Barrapunto

Eres tú? el pobrecito hablador que decía

No, ni tampoco tiene nada que ver.

Sí pero eso no significa que la vulnerabilidad fuera de xen

Esto es, no es de Xen, ni es del servidor Linux que ofertan, sino de un componente que quizás ni usen y que te has sacado de la manga. Ésto lo tienes que demostrar tú, porque a todas luces es perfectamente creible que hayan fallado alguno de los 200+ paquetes de Linux a que hayan fallado 5 del panel de control.

En realidad el problema es de los cuatro gatos que desarrollan JIRA que no encontraron dicho XSS.

Los parches de Jira eran dos partes, una de scripts y jsp, los cuales se pueden ver los scripts y otra de clases que es la parte cerrada. Si los scripts de la instalación de Jira se pueden leer, ¿por qué no se probaron antes? No es necesario conocer el software de dentro para haber probado la parte de fuera. El equipo de ASF cometío un error en no probarlo.

Lo que dice eso es que el atacante hizo un link a propósito que al pincharlo le sirvió para usar las sesiones de los usuarios administradores de JIRA, si JIRA estuviera bien hecho ese problema no hubiera existido (la responsabilidad a quien es)

Como bien indican en la página de Apache, los administradores cometieron muuuuuchos errores. Si la aplicación hubiese estado bien administrada, no se hubiese llegado tan lejos.

Y es cierto, los virus no afectan a gnu/linux ni a BSD

¿No te das cuentas de la incoherencia que dices? Existen más ejemplos [symantec.com] de virus, pero no le afectan porque se tienen que ejecutar con el permiso root. Vale. Los ejecuto con el permiso root. Como bien sabes, la no existencia de un contraejemplo no prueba el hecho.

por ende ubuntu es una mierda

Ahh, ubuntu no es el linux que te gusta a ti y por eso no vale.

difamar porque gracias a ellos (...)

No voy a ser yo quien defienda a Ubuntu, pero es la más popular y la que podría considerarse objetivo de los mismos ataques que sufren las populares Windows. Y no digo que Linux sea inseguro, más o menos que Windows, lo que afirmo son dos proposiciones que puedes ver en el comentario [barrapunto.com]

Que ellos fueran al camino fácil y no sepan lo que es un IDS no quiere decir que el sistema sea así el análisis forense existe, los IDS existen y demás

Correcto, conocía algunos. De todas formas gracias por el enlace.

Esto es, no es de Xen, ni es del servidor Linux que ofertan, sino de un componente que quizás ni usen y que te has sacado de la manga. Ésto lo tienes que demostrar tú, porque a todas luces es perfectamente creible que hayan fallado alguno de los 200+ paquetes de Linux a que hayan fallado 5 del panel de control.

Sí y lo que estás haciendo tú es difamación, ésto es, afirmar algo sin dar pruebas de ello. Es verdad, eres tú el que tienes que aportar las pruebas de que el fallo es de xen o de los otros componentes libres no yo de que no es así. Para algo existe la presunción de inocencia.

Precisamente lo más común hoy día son las vulnerabilidades en códigos php y demás, sobretodo XSS.

Los parches de Jira eran dos partes, una de scripts y jsp, los cuales se pueden ver los scripts y otra de clases que es la parte cerrada. Si los scripts de la instalación de Jira se pueden leer, ¿por qué no se probaron antes? No es necesario conocer el software de dentro para haber probado la parte de fuera. El equipo de ASF cometío un error en no probarlo.

Te repito Jira es código cerrado, ellos no quieren que veas el código y yo particularmente no audito código cerrado que lo liberen si quiere que lo haga si quieren que les haga el favor gratis que den algo a la comunidad.

Que los de apache son ineptos pues sí del todo, y su servidor en particular para mí una completa basura pero que me digas que el software libre no es más seguro su código porque los gilipollas de apache no auditan código cerrado pues vamos ahora pienso en trasladar el gilipollas a otro :).

Probar un software no es auditar un código buscando vulnerabilidades. Y si piensas eso es que eres más tonto de lo que pareces. No puedes auditar códigos conociendo la parte externa en exclusiva.

Como bien indican en la página de Apache, los administradores cometieron muuuuuchos errores. Si la aplicación hubiese estado bien administrada, no se hubiese llegado tan lejos.

Ese software propietario concedió acceso remoto y acceso a las cuentas de JIRA, ¿te parece poco?. ¿Tan poco entiendes de seguridad?.

Que los de apache son unos inútiles que no saben lo que montan pues sí lo son, que quieres decirme ahora que en windows te pasa lo mismo y que su inseguridad es por eso? pues tranquilo que yo me adelanto a tu alegato y te lo refuto ya, con decirte que ningún gnu/linux necesita de un puerto privilegiado escuchando para funcionar (¿RPC/DCOM te suena? )

¿No te das cuentas de la incoherencia que dices? Existen más ejemplos de virus, pero no le afectan porque se tienen que ejecutar con el permiso root. Vale. Los ejecuto con el permiso root. Como bien sabes, la no existencia de un contraejemplo no prueba el hecho.

Tú no te das cuenta de las barbaridades que escribes verdad?, los virus necesitan infectar binarios para infectar a otros, dado que en gnu/linux los binarios residen en zonas no escribibles por los usuarios la infección automática se detiene.

GNU/Linux es multiusuario solo uno (normalmente) tiene la cuenta de root, el resto de usuarios no, ¿como va a infectar el sistema me lo puedes explicar?.

La gente no desarrolla virus para gnu/linux, bsd y demás porque no son viables (y creeme nada mejor que tumbar un servidor en vez de tumbar una estación de trabajo, así que ahórrate el nadie lo usa), en efecto la probabilidad de éxito es inexistente.

Ahh, ubuntu no es el linux que te gusta a ti y por eso no vale.

Ubuntu sólo tiene una parte pequeña del pastel, la mayoría usan Debian, Slackware, gentoo y Fedora/redhat.

En mi opinión ubuntu es una lacra que se diseñó mal aposta para contentar a