CGI-уязвимость в PHP: второй подход к снаряду dl // 09.05.12 17:54
The PHP Group со второй попытки все-таки закрыла уязвимость, позволяющую на некоторых конфигурациях просматривать исходники скриптов, выполнять удаленный код и т.п. [Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2012/05/09.html] Кроме того, PHP 5.4.3 и PHP 5.3.13 закрывают еще одно переполнение буфера в функции apache_request_headers.
Надо сказать, что cgi-уязвимость не осталась без внимания взломщиков - так, хостинг-провайдер Dreamhost за время, прошедшее с момента ее обнародования, зафиксировал 234 076 попытки ее использования на 151 275 отдельных доменах.