URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 31643
[ Назад ]

Исходное сообщение
"OpenNews: Возможность обхода ограничений Open_Basedir в PHP"

Отправлено opennews , 05-Окт-06 16:49 
В PHP4 и PHP5 обнаружена новая проблема безопасности (http://www.hardened-php.net/advisory_082006.132.html), дающая возможность злоумышленнику получить доступ ко всей файловой системе несмотря на ограничения Open_Basedir.


В качестве временного решения достаточно запретить использование функции symlink() через disable_functions в php.ini.

URL: http://secunia.com/advisories/22235/
Новость: http://www.opennet.me/opennews/art.shtml?num=8466


Содержание

Сообщения в этом обсуждении
"Возможность обхода ограничений Open_Basedir в PHP"
Отправлено Dyr , 05-Окт-06 16:49 
За..ли PHP'цы со своими многочисленными дырками. Это помимо всего прочего.

"Возможность обхода ограничений Open_Basedir в PHP"
Отправлено BOLK , 06-Окт-06 13:39 
Почему вас это беспокоит?

"Возможность обхода ограничений Open_Basedir в PHP"
Отправлено si , 05-Окт-06 16:54 
кстати в mod_perl нету даже такого хоить и кривого решения

"Возможность обхода ограничений Open_Basedir в PHP"
Отправлено Userr , 05-Окт-06 18:39 
к счастью

"Возможность обхода ограничений Open_Basedir в PHP"
Отправлено hellbot , 05-Окт-06 18:26 
Да что же все так не любят php ?
Забыли добавить что подвержены данной проблеме только Nix системы, потому как Windows - слишком ущербная для этого. И если хотя бы одна из платформ не подвержена, значит проблема не языка ?

"Возможность обхода ограничений Open_Basedir в PHP"
Отправлено smb , 05-Окт-06 20:08 
А что, господин рассматривает windows как платформу для организации web-сервера с PHP?Удачи...

"Возможность обхода ограничений Open_Basedir в PHP"
Отправлено Квагга , 06-Окт-06 13:36 
Для разработки - да. 99% известных мне разработчиков сидят на XP. WAMP.
И Cygwin X.

"Возможность обхода ограничений Open_Basedir в PHP"
Отправлено snov , 06-Окт-06 18:37 
Какие проблемы с безопасностью на хосте разработчика? :)

"Возможность обхода ограничений Open_Basedir в PHP"
Отправлено hellbot , 06-Окт-06 21:34 
С тех самых пор, как специфическая возможность ОС стала ошибкой языка, хотя решать вопросы безопастности должен вебсервер который для всех платформ един.

А пока сплошные заплатки и костыли.


"Возможность обхода ограничений Open_Basedir в PHP"
Отправлено koder , 05-Окт-06 22:29 
Т.к. DOS точно не подвержена то авторитетно заявляю что ето проблема к ПыхПых'у никакого отношения не имеет :)

"Возможность обхода ограничений Open_Basedir в PHP"
Отправлено FSA , 06-Окт-06 13:20 
И кто ж вам сказал, что open_basedir при работе в Windows не используется???

"Возможность обхода ограничений Open_Basedir в PHP"
Отправлено hellbot , 06-Окт-06 21:33 
а кто сказал что в windows есть symlink ?

"Возможность обхода ограничений Open_Basedir в PHP"
Отправлено Аноним , 06-Окт-06 10:38 
Никто не использовал Resin под это дело? Он вроде РНР может интерпретировать, но как он в плане скорости?

"Возможность обхода ограничений Open_Basedir в PHP"
Отправлено ping , 09-Окт-06 12:54 
юзайте яву она ява.

"Возможность обхода ограничений Open_Basedir в PHP"
Отправлено Анонимоус , 09-Окт-06 23:02 
> Для разработки - да. 99% известных мне разработчиков сидят на XP. WAMP
Так уж и 99?

> юзайте яву она ява.
...тормозна, глюкава и тоже дырява :)


"Возможность обхода ограничений Open_Basedir в PHP"
Отправлено Amazonka , 10-Окт-06 11:18 
Подскажите, как правильно прописать в php.ini?
disable_functions = symlink()
на такое ругается.

"Возможность обхода ограничений Open_Basedir в PHP"
Отправлено ping , 10-Окт-06 11:45 
>Подскажите, как правильно прописать в php.ini?
>disable_functions = symlink()
>на такое ругается.


скобки убери


"Возможность обхода ограничений Open_Basedir в PHP"
Отправлено Amazonka , 10-Окт-06 11:49 
>>Подскажите, как правильно прописать в php.ini?
>>disable_functions = symlink()
>>на такое ругается.
>
>
>скобки убери
убрала, та же фигня, ругается еще больше.
попробовала вариант:

disable_functions =
symlink = Off
Ошибок на это не выдает, но будет ли так правильно?


"Возможность обхода ограничений Open_Basedir в PHP"
Отправлено ping , 10-Окт-06 12:53 
>>>Подскажите, как правильно прописать в php.ini?
>>>disable_functions = symlink()
>>>на такое ругается.
>>
>>
>>скобки убери
>убрала, та же фигня, ругается еще больше.
>попробовала вариант:
>
>disable_functions =
>symlink = Off
>Ошибок на это не выдает, но будет ли так правильно?

не знаю.
запихай это в symlink.php и проверь.

<?php
$res=symlink ( "symlink.php", "link.php" );

if ($res)
{
echo "symlinks are enabled";
}
else
{
echo "symlinks are not enabled";
}
?>


"Возможность обхода ограничений Open_Basedir в PHP"
Отправлено Amazonka , 11-Окт-06 11:07 
>не знаю.
>запихай это в symlink.php и проверь.
>
><?php
>$res=symlink ( "symlink.php", "link.php" );
>
>if ($res)
>{
> echo "symlinks are enabled";
>}
>else
>{
> echo "symlinks are not enabled";
>}
>?>
Правильным оказался вариант:
disable_functions = symlink
Но как то интересно он заработал, после 3 перезагрузки понял конфиг, стал работать и перестал писать ошибки. PHP что уже как винда работает, 5 раз перезагрузись и все будет Ok? Странно как то.....



"Возможность обхода ограничений Open_Basedir в PHP"
Отправлено ping , 11-Окт-06 11:20 
>>не знаю.
>>запихай это в symlink.php и проверь.
>>
>><?php
>>$res=symlink ( "symlink.php", "link.php" );
>>
>>if ($res)
>>{
>> echo "symlinks are enabled";
>>}
>>else
>>{
>> echo "symlinks are not enabled";
>>}
>>?>
>Правильным оказался вариант:
>disable_functions = symlink
>Но как то интересно он заработал, после 3 перезагрузки понял конфиг, стал
>работать и перестал писать ошибки. PHP что уже как винда работает,
>5 раз перезагрузись и все будет Ok? Странно как то.....


так я же говорил, что скобки убери :-)
в каком виде у тебя работает пхп в с веб-сервером? php-cgi или mod_php?
и каким образом "рестартила пхп" ?
у меня изменения в php.ini вступают в силу после рестарта апача(пхп скомпилен модулем), и достаточно одного раза рестартнуть.
ось: freebsd 6.2PR.
а таких проблем как у тебя не было.


"Возможность обхода ограничений Open_Basedir в PHP"
Отправлено Amazonka , 11-Окт-06 12:54 
>так я же говорил, что скобки убери :-)
>в каком виде у тебя работает пхп в с веб-сервером? php-cgi или
>mod_php?
У меня через mod_php работает.
>и каким образом "рестартила пхп" ?
>у меня изменения в php.ini вступают в силу после рестарта апача(пхп скомпилен
>модулем), и достаточно одного раза рестартнуть.
Аналогично и у меня. Рестартила апач, после 3 рестарта перестал писать ошибки в логах, и сайт заработал как положено. Раньше тоже достаточно было один раз рестартануть, почему и удивляюсь :).
>ось: freebsd 6.2PR.
>а таких проблем как у тебя не было.
slackware 10, у меня таких непоняток тоже раньше не возникало.