LINUX.ORG.RU

Уязвимость PHP, работающего в режиме CGI

 ,


0

1

Уязвимость связана с возможностью передачи служебных параметров php-интерпретатору. Проверить наличие уязвимости можно, передав любому скрипту сайта в качестве аргумента опцию командной строки, например http://localhost/index.php?-s для показа исходного кода. Если этот способ не работает, значит ваш сайт не подвержен уязвимости.

Сервера с предустановленной панелью управления ISPmanager устойчивы к ней, так как не вызывают PHP напрямую, а используют wrapper-скрипт следующего содержания (для Linux):

#!/usr/bin/php-cgi

Во FreeBSD используется путь:

#!/usr/local/bin/php-cgi

Помимо использования wrapper'а, для устранения уязвимости можно обновиться до последних версий PHP 5.3.13 и PHP 5.4.3.

>>> Подробности

☆☆☆

Проверено: maxcom ()

Ответ на: комментарий от Umberto

В новостях тут вроде не было, да и вдруг кто в танке сидит. Я вот вчерась у себя один такой сервер нашел.

r_asian ☆☆☆ ()
Ответ на: комментарий от r_asian

в дебиане закрыли дырку ещё до того как она в толксы попала.

Я вот вчерась у себя один такой сервер нашел.

зачем cgi, если есть fcgi (который, кстати, ей не подвержен) ?

Umberto ★☆ ()
Ответ на: комментарий от Umberto

зачем cgi, если есть fcgi (который, кстати, ей не подвержен) ?

Он там исторически сложился ещё до моего появления. Более того, там кучкуются сайты, которые не работают на php 5.3.* и выше.

r_asian ☆☆☆ ()

последних версий PHP 5.3.12 и PHP 5.4.2

All users are encouraged to upgrade to PHP 5.4.3 or PHP 5.3.13
The releases complete a fix for a vulnerability in CGI-based setups (CVE-2012-2311).

gatsu ()

Кстати, кто-нибудь таки нашёл, где эту уязвимость применить?

Я нет :)

Debasher ★★★★★ ()

Молодец, ненавязчиво пропиарил ISPmanager.

iron ★★★★★ ()
Ответ на: комментарий от sin_a

У тебя он открывается по ссылке: http://localhost/index.php ?

Посему и говорю, что ненавязчиво, просто упомянул. Почему же тогда еще не упомянуть остальные сотни тысяч софтин на которых этот баг не работает? :)

iron ★★★★★ ()
Ответ на: комментарий от iron

Не, мне он этой ссылкой нечто совсем другое прорекламировал.

sin_a ★★★★★ ()

новости уже почти месяц...

foozzi ★★★ ()

для устранения уязвимости можно обновиться до последних версий PHP 5.3.12 и PHP 5.4.2

Бггг. PHP 5.4.3 and PHP 5.3.13 Released! Уже две с лишним недели как.

Feonis ★★ ()

PHP, работающего в режиме CGI

power ()

машина времени LOR сбойнула... теперь она заработала в прошлое. ЗЫ к слову хороший прикол был бы на 1 апреля.

stalkerg ★★★★★ ()

PHP, работающего в режиме CGI

facepalm.jpg

punya ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.