URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 38378
[ Назад ]

Исходное сообщение
"OpenNews: Критическая уязвимость в mod_fastcgi из комплекта lighttpd "
Отправлено opennews , 11-Сен-07 15:09

В lighttpd обнаружена (http://secunia.com/advisories/26732/) возможность удаленного запуска PHP кода злоумышленника, вызванная ошибкой к коде модуля mod_fastcgi, работающего в связке с PHP. Злоумышленник может подменить данные HTTP заголовка, и через передачу SCRIPT_FILENAME запустить собственный PHP код.

Уязвимость устранена (http://www.lighttpd.net/assets/2007/9/9/lighttpd_sa_2007_12.txt) в lighttpd 1.4.18 (http://www.lighttpd.net).
URL: http://secunia.com/advisories/26732/
Новость: http://www.opennet.me/opennews/art.shtml?num=11977

Содержание

Критическая уязвимость в mod_fastcgi из комплекта lighttpd ,Samm, 15:09 , 11-Сен-07
- Критическая уязвимость в mod_fastcgi из комплекта lighttpd ,CMEX, 18:12 , 11-Сен-07
  - Критическая уязвимость в mod_fastcgi из комплекта lighttpd ,Samm, 19:31 , 11-Сен-07
Критическая уязвимость в mod_fastcgi из комплекта lighttpd ,Аноним, 17:25 , 11-Сен-07
- Критическая уязвимость в mod_fastcgi из комплекта lighttpd ,Samm, 19:29 , 11-Сен-07
Критическая уязвимость в mod_fastcgi из комплекта lighttpd ,www.andr.ru, 10:19 , 12-Сен-07
- Критическая уязвимость в mod_fastcgi из комплекта lighttpd ,Samm, 10:37 , 12-Сен-07
Критическая уязвимость в mod_fastcgi из комплекта lighttpd ,Nice, 14:52 , 12-Сен-07
Критическая уязвимость в mod_fastcgi из комплекта lighttpd ,Аноним, 16:52 , 12-Сен-07
- Критическая уязвимость в mod_fastcgi из комплекта lighttpd ,Z3, 01:44 , 13-Сен-07

Сообщения в этом обсуждении

"Критическая уязвимость в mod_fastcgi из комплекта lighttpd "
Отправлено Samm , 11-Сен-07 15:09

Кстати, это весьма актуально и для пользователей nginx, так как нередко именно эта утилита используется для связки php fcgi <=> nginx.

"Критическая уязвимость в mod_fastcgi из комплекта lighttpd "
Отправлено CMEX , 11-Сен-07 18:12

Не мог бы мегаэксперт озвучить имя "утилиты"? :)

"Критическая уязвимость в mod_fastcgi из комплекта lighttpd "
Отправлено Samm , 11-Сен-07 19:31

>Не мог бы мегаэксперт озвучить имя "утилиты"? :)
Перепутал с spawn-fcgi. Утро и недостаточно кофе выпил, вероятно.

"Критическая уязвимость в mod_fastcgi из комплекта lighttpd "
Отправлено Аноним , 11-Сен-07 17:25

Samm, ты что читать не умеешь? Написано про модуль lighttpd, а не про spawn-fcgi.

"Критическая уязвимость в mod_fastcgi из комплекта lighttpd "
Отправлено Samm , 11-Сен-07 19:29

Ошибся. С Вами, вероятно, подобного никогда не происходит.

"Критическая уязвимость в mod_fastcgi из комплекта lighttpd "
Отправлено www.andr.ru , 12-Сен-07 10:19

Это, может, уязвимость PHP, а не FastCGI?
Валите с больной головы на здоровую

"Критическая уязвимость в mod_fastcgi из комплекта lighttpd "
Отправлено Samm , 12-Сен-07 10:37

Нет, на этот раз PHP ни при чём.
Lighttpd is prone to a header overflow when using the mod_fastcgi extension,
this can lead to arbitrary code execution in the fastcgi application.

"Критическая уязвимость в mod_fastcgi из комплекта lighttpd "
Отправлено Nice , 12-Сен-07 14:52

Терь любой кто осилил PHP может гордо звать себя мегохацкером.

"Критическая уязвимость в mod_fastcgi из комплекта lighttpd "
Отправлено Аноним , 12-Сен-07 16:52

Странно, что в Debian до сих пор нет обновления

"Критическая уязвимость в mod_fastcgi из комплекта lighttpd "
Отправлено Z3 , 13-Сен-07 01:44

>Странно, что в Debian до сих пор нет обновления
Да уж, ждемс!