URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 95688
[ Назад ]

Исходное сообщение
"Обновление PHP 5.5.12 с устранением уязвимости в PHP-FPM"
Отправлено opennews , 01-Май-14 16:57

Доступен (http://php.net/index.php#id2014-04-30-1) корректирующий выпуск интерпретатора языка программирования PHP 5.5.12, в котором отмечено 21 исправление (http://www.php.net/ChangeLog-5.php#5.5.12). В расширении PHP-FPM (менеджер процессов FastCGI) устранена уязвимость (http://www.openwall.com/lists/oss-security/2014/04/29/5) (CVE-2014-0185), позволяющая локальному пользователю, имеющему доступ к UNIX-сокету php-fpm, по умолчанию создаваемому с правами 0666, выполнить произвольный PHP-код с правами работающего пула процессов FastCGI (например, в Ubuntu 14.04 можно выполнить код под пользователем www-data).
URL: http://php.net/index.php#id2014-04-30-1
Новость: http://www.opennet.me/opennews/art.shtml?num=39686

Содержание

Обновление PHP 5.5.12 с устранением уязвимости в PHP-FPM,PavelR, 17:28 , 01-Май-14
- Обновление PHP 5.5.12 с устранением уязвимости в PHP-FPM,Мимо шёл упырь, 18:47 , 01-Май-14
Обновление PHP 5.5.12 с устранением уязвимости в PHP-FPM,EuPhobos, 23:42 , 01-Май-14
- Обновление PHP 5.5.12 с устранением уязвимости в PHP-FPM,Аноним, 08:21 , 02-Май-14
  - Обновление PHP 5.5.12 с устранением уязвимости в PHP-FPM,www2, 14:09 , 02-Май-14
  - Обновление PHP 5.5.12 с устранением уязвимости в PHP-FPM,Sw00p aka Jerom, 15:04 , 02-Май-14

Сообщения в этом обсуждении

"Обновление PHP 5.5.12 с устранением уязвимости в PHP-FPM"
Отправлено PavelR , 01-Май-14 17:28

И как они это пофиксили? Баг помечен "приватным", конечно, супердыра жеж - надо скрыть, что по дефолту теперь не 666 а 660, да.
Прописывать "listen.mode = 0660" уже не в почете, понимаю, да.

Или они как-то по-другому это поправили и теперь "локальный пользователь, даже имеющий доступ к UNIX-сокету php-fpm, по умолчанию созданному с правами 0666, _НЕ СМОЖЕТ_ выполнить произвольный PHP-код с правами работающего пула процессов" ??

"Обновление PHP 5.5.12 с устранением уязвимости в PHP-FPM"
Отправлено Мимо шёл упырь , 01-Май-14 18:47

Поменяли дефолтные права?

"Обновление PHP 5.5.12 с устранением уязвимости в PHP-FPM"
Отправлено EuPhobos , 01-Май-14 23:42

Что за глупость, само собой если процесс запущен от некого пользователя и пул доступен всем, код будет выполнен от запустившего этот процесс..

"Обновление PHP 5.5.12 с устранением уязвимости в PHP-FPM"
Отправлено Аноним , 02-Май-14 08:21

> Что за глупость, само собой если процесс запущен от некого пользователя и
> пул доступен всем, код будет выполнен от запустившего этот процесс..
fpm запускает php-скрипты пользователей с правами этих пользователей. Уязвимость позволяет обойти ограничение на запуск скрипта только под своими правами.

"Обновление PHP 5.5.12 с устранением уязвимости в PHP-FPM"
Отправлено www2 , 02-Май-14 14:09

Но ведь это же костыли. Раз админ назначил такие права - значит это либо нужно, либо он сам дурак. Запрещать делать опасное нормальным админам только лишь для того, чтобы идиоты не выстрелили себе в ногу - ненормальная практика. Может быть именно это админ и имел в виду - дать всем локальным пользователям, например, менять свой пароль. Или перемонтировать диски (мало ли).
А тут кто-то решает, что так делать нельзя, потому что есть толпа дураков, которые не осознают опасности и дают доступ всем на всё подряд. После этого для дураков всё остаётся как и прежде, только разумным людям теперь приходится прилагать дополнительные усилия, чтобы обеспечить штатную работу системы (например - включать всех пользователей в специально созданную для этого группу).

"Обновление PHP 5.5.12 с устранением уязвимости в PHP-FPM"
Отправлено Sw00p aka Jerom , 02-Май-14 15:04

>обойти ограничение на запуск скрипта только под своими правами.
как так, если socket owner явно указан? дело в правах на запись остальным пользователям