Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Опасная и все еще неисправленная восьмилетняя уязвимость в PHP 04.05.12 17:27
Publisher: dl <Dmitry Leonov>
|
Опасная и все еще неисправленная восьмилетняя уязвимость в PHP InfoWorld http://www.infoworld.com/t/application-security/critical-php-vulnerability-exposes-servers-data-theft-or-worse-192428
При установке PHP в качестве простого обработчика CGI-запросов (например, с помощью mod_cgid в Apache, в отличие от FastCGI, который не затронут) у атакующего появляется возможность передать интерпретатору различные параметры, приводящие к показу исходников скриптов, исполнению произвольного кода и т.п.
Узнать, подвержена ли ваша версия данной уязвимости, можно путем добавления простой строчки ?-s к url любого php-документа. Если вместо привычной страницы браузер покажет ее исходный код, пора бежать за обновлением.
Обнаружена эта уязвимость была в январе, а появилась еще в 2004 году. The PHP Group уже выпустила исправленные версии PHP 5.3.12 и PHP 5.4.2.
Update: как выяснилось [ http://eindbazen.net/2012/05/php-cgi-advisory-cve-2012-1823/ ], официальное исправление легко обходится.
Полный текст
|
|
Гыг! Я такое видел, только не понял, как получилось 07.05.12 04:54
Автор: Zef <Alloo Zef> Статус: Elderman
|
С какого-то защищенного сайта в результате неправильно сформированного запроса (не до конца скопипастил строчку) вывалился сорц. Видимо, это ?-s где-то и оказалось.
|
| |
Ага, когда-то давно и я тоже видел, но воспроизвести не смог и решил, что глюк. 07.05.12 10:58
Автор: Fighter <Vladimir> Статус: Elderman
|
|
|
|