forum.opennet.ru

"Критическая уязвимость в PHP, проявляющаяся в CGI-режиме"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Для слежения за появлением новых сообщений в нити, нажмите "Проследить за развитием треда".

. "Критическая уязвимость в PHP. Обновления PHP 5.3.12 и PHP 5...."	+/–
Сообщение от Аноним (-), 09-Май-12, 12:33
if((query_string = getenv("QUERY_STRING")) != NULL && strchr(query_string, '=') == NULL) { /* we've got query string that has no = - apache CGI will pass it to command line / unsigned char p; decoded_query_string = strdup(query_string); php_url_decode(decoded_query_string, strlen(decoded_query_string)); for (p = decoded_query_string; p && p <= ' '; p++) { /* skip all leading spaces / } if(p == '-') { skip_getopt = 1;} free(decoded_query_string);} Насколько я понял, теперь проверяется что если нету лидирующего знака "-" (исключая все лидирующие пробелы) то все равно происходит разбор командной строки. Не является ли это все равно некоторой опасностью? Допустим http://anysite.ru/?/anypath/anyscript.php приведет к вызову php /anypath/anyscript.php И вот вопрос будет ли он обрабатывать скрипт, переданный в качестве параметра или переданный через переменную окружения SCRIPT_NAME. А /anypath/anyscript.php может быть какой-нибудь скрипт расположенный не document_root, а где-нибудь в временных каталогах. Конечно, это уже не такая критическая уязвимость, но все же непонятно зачем вообще обрабатывать командную строку, если скрипт запущен в режиме cgi. Когда теоретически даже это может понадобиться не для атаки, а для нормального использования?
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Критическая уязвимость в PHP, проявляющаяся в CGI-режиме, opennews, 03-Май-12, 22:37 [смотреть все]

PHP Nobody cares, Аноним, 03-Май-12, 22:37 (1) //
- кто-то юзает php в cgi режиме , lf, 04-Май-12, 11:33 (49) //
  - Некрофилы и извращенцы Ну наконец то им прилетят серебряные пули , Аноним, 05-Май-12, 16:24 (88)
  - Некоторые хостеры, которые орут что у них есть PHP 5 2 5 3 и 5 4, Georges, 08-Май-12, 10:36 (104)
PHP a fractal of bad design , Аноним, 03-Май-12, 22:42 (2)
Так и надо всяким некроманам-извращенцам , Аноним, 03-Май-12, 22:45 (3)
Хм А я думал, что это штатная фича Теперь понятно, почему в документации ее хре, Аноним, 03-Май-12, 22:53 (4) //
- тож думал что это фишка както странно слышать это среди багов xD хо, Xasd, 04-Май-12, 00:15 (10)
Ожидаемо , Аноним, 03-Май-12, 23:35 (5)
жутькакое счастье, что у меня fcgi, codejumper, 03-Май-12, 23:47 (6)
У кого то еще CGI , jedie, 03-Май-12, 23:55 (7) //
- На самом деле судя по всему и PHP-скрипты под FastCGI тоже уязвимы, только экспл, Аноним, 04-Май-12, 00:08 (8) //
  - Например, в дефолтовом примере к spawn-fcgi вызывается php5-cgi и теоретически д, Аноним, 04-Май-12, 00:13 (9) //
    - А что, пыху там через командлайн параметры запроса передаются В cgi оно вот так, Аноним, 04-Май-12, 02:04 (25)
      - Почитайте на досуге как работает CGI, командная строка там вообще не причём Fas, Аноним, 04-Май-12, 09:16 (36)
        
        Вы не правы Почитайте сами спецификации на CGI и FCGI, это разные протоколы , samm, 04-Май-12, 11:14 (44)
        
        И и там и там запускаемое приложение, в нашем случае интерпретатор php со скрипт, Аноним, 04-Май-12, 12:14 (56)
        
        Прикольно гнать пургу с умным видом А если ман все-таки почитать, там таки напи, Аноним, 05-Май-12, 16:51 (94)
        
        При чем здесь протокол доставки, когда речь про обработку запроса на стороне при, Аноним, 05-Май-12, 23:23 (98)
        
        Вообще-то я читал спеки на оба и fast как-то совсем-совсем другой протокол , Аноним, 05-Май-12, 16:26 (89)
        
        Это я ступил, думал что ошибка в PHP сводится к тому, что он параметры в STDIN п, Аноним, 05-Май-12, 23:45 (100)
      - Не командлайн, а STDIN , Аноним, 04-Май-12, 11:41 (52)
      - да для вас наверно всё старое - дебильное и тормозное А для кого-то это этап в , terr0rist, 04-Май-12, 23:04 (67)
        
        Все познается в сравнении Но некоторые дизайны просто галимы на уровне идеи Ст, Аноним, 05-Май-12, 16:29 (90)
        
        Ну не то чтобы принципиально невозможно, но некоторые вещи действительно удобней, angra, 06-Май-12, 10:04 (101)
        
        очень разумная идея , arisu, 06-Май-12, 15:47 (102)
        тут особой проблемы нет, можно поставить минимальное кол-во fcgi-процессов в 0 и, Аноним, 10-Май-12, 08:35 (106)
- hc ru - хостинг-центр РБК, FSA, 04-Май-12, 11:19 (46)
Очень многие российские хостинги включая самые крупные запускают php именно в , XoRe, 04-Май-12, 00:17 (11) //
- Если именно CGI и даже не фаст - так и надо этим дебилам Естественный отбор Че, Аноним, 04-Май-12, 01:19 (20) //
  - Для PHP нет другого пути разделения привилегий, если использовать mod_php, то вс, Аноним, 04-Май-12, 09:20 (37) //
    - У Valuehost с этим проблем нет Когда-то давно на форуме webhostingtalk ru видел, FSA, 04-Май-12, 11:35 (50)
      - Ох Проситите Столько запятых пропустил в тексте , FSA, 04-Май-12, 11:38 (51)
      - Ой, только Valuehost не вспоминайте, там был грязный хак с постоянной работой в, Аноним, 04-Май-12, 11:45 (53)
    - php-fpm поможет отцу русской демократии Объявите столько пулов, сколько у вас п, Andrew Kolchoogin, 04-Май-12, 15:03 (64)
    - Расходы есть по памяти среднее кол-во памяти на php-cgi-процесс 15М, при 1000 , Аноним, 05-Май-12, 03:11 (71)
    - mod_ruid же, erera22, 05-Май-12, 15:21 (84)
  - и правильно делают, кстати точно так же запускают и перл и питон и sh и всё о, terr0rist, 04-Май-12, 23:15 (68) //
    - Не ускориться, потому что всегда будет дофига тех, кто не осилил нормальные язык, Аноним, 07-Май-12, 18:13 (103)
- Можно проблему эту решить через mod rewrite ну или другие rewriteры , jedie, 04-Май-12, 01:33 (22) //
  - или при помощи полного удаления php, это всяко надёжней , arisu, 05-Май-12, 00:36 (70) //
    - Если пойти чуть дальше, можно не подключать сеть Тогда хакеру придется притащит, Аноним, 05-Май-12, 16:37 (92)
      - качество кода php достаточно общеизвестно использовать ЭТО можно или от нечего , arisu, 05-Май-12, 21:14 (97)
- Это было бы так, но уязвимости подвержены далеко не все хостинги с PHP как CGI , solardiz, 04-Май-12, 12:30 (57)
http allvanyzatok hu phpinfo php, обратите внимание на Server API CGI Не уда, Аноним, 04-Май-12, 00:22 (12) //
- во враппере exec usr bin php-cgi -- или вообще без параметров, Аноним, 04-Май-12, 01:40 (23) //
  - Спасибо, работает воркэрраунд bin dashexec usr lib cgi-bin php5 -- Прост, Etch, 04-Май-12, 08:40 (35) //
    - Вы все-равно не сможете безнаказанно занять эту память - под угрозой облома выпо, Аноним, 05-Май-12, 17:23 (95)
- Из скрипта никак не узнаешь как запущен PHP, как FCGI или просто CGI Поэтому в , Diden05, 04-Май-12, 03:47 (29)
кроме -s чтонибудь полезное получилось выполнить ато например --run 3D, Xasd, 04-Май-12, 00:38 (13) //
- 22 3B может закрываться так должно А не наоборот , LostAlly, 04-Май-12, 00:44 (14) //
  - понял в чём дело нет такого параметра в php-cgi там только code php-cg, Xasd, 04-Май-12, 00:53 (16) //
    - или всётаки я НЕ понял ведь --syntax-highlight тоже работает, Xasd, 04-Май-12, 00:54 (17)
- кстате говоря напоминаю, что чтбы передать ДВА параметра, их нужно разделить зна, Xasd, 04-Май-12, 01:08 (18) //
  - вот успешно получившийся пример -d memory_limit 3D20Mэтот параметр уменьшает ли, Xasd, 04-Май-12, 01:22 (21) //
    - дык, allow_url_include и в добрый путь, Аноним, 04-Май-12, 01:55 (24)
      - почемуто не выходет даже с ней - - - единственное что удачно вышло с a, Xasd, 04-Май-12, 02:13 (26)
        
        а может быть можно както создать типа ERROR LOG какойнить и внутри этого файла, Xasd, 04-Май-12, 02:17 (27)
        
        покачто не вижу пути подставить внутрь error log php хоть какуюто полезную и, Xasd, 04-Май-12, 02:54 (28)
        
        работает если вместо php забить http i php -d allow_url_include 3d1 -d aut, akrylasov, 05-Май-12, 00:30 (69)
        
        This setting requires allow_url_fopen to be on , Аноним, 04-Май-12, 10:00 (38)
        
        а ещё можно предположить, что сервера на которых я экспериментировал -- имеют ip, Xasd, 04-Май-12, 11:28 (47)
dork Server API CGI inurl info php - CGI FastCGI и не работает нигде -s, mikevmk, 04-Май-12, 00:47 (15)
И, по традиции, пачт уязвимость не устраняет, а немного видоизменяет - параметры, Аноним, 04-Май-12, 01:18 (19)
DOS-ить можно -T 2010000, PavelR, 04-Май-12, 04:53 (30)
php 8212 глобально и надёжно , arisu, 04-Май-12, 07:36 (33)
nginx org ещё раз подтверждает свои плюсы использования php без apache , CSRedRat, 04-Май-12, 10:15 (39) //
- nginx головного мозга Нефиг некрофилить по CGI , AlexAT, 04-Май-12, 10:33 (40) //
  - Я конечно, не совсем распарсил тонкого сарказму предыдущего оратора, но предпол, Andrey Mitrofanov, 04-Май-12, 10:59 (42)
- плюс у него есть в том что он все еще не может htaccess , Sas, 04-Май-12, 10:49 (41) //
  - Совувствуем _Вашим мучениям В след раз голубые ленточки начнём раздавать , Andrey Mitrofanov, 04-Май-12, 11:01 (43)
  - Т е из-за такой мелочи вы тянете за собой монстра Apache Да, понимаю, в nginx , FSA, 04-Май-12, 11:18 (45) //
    - вы это скажите программистам битрикса или после каждого их костыля мне лезть в к, Sas, 04-Май-12, 11:30 (48)
      - Выкиньте битрикс, вместе с программистами Когда глобальный движок заточен под , EuPhobos, 04-Май-12, 11:53 (54)
      - Это поделие обкуренных бабуинов только могила исправит Почему-то все кто имел с, Аноним, 05-Май-12, 16:42 (93)
открой для себя mpm-itk и будет тебе счастье, ALex_hha, 04-Май-12, 11:58 (55) //
- OK А как крутить несколько версий php на одном сервере , Аноним, 04-Май-12, 12:46 (59) //
  - В принципе ничто не мешает собрать несколько модулей с разными именами модуля, и, AlexAT, 04-Май-12, 13:01 (60)
Я чего-то не понимаю Почему нельзя во врапере вместо bin sh usr data wrappers, Аноним, 04-Май-12, 12:44 (58) //
- Тогда путь до скрипта не получит , anonymous, 04-Май-12, 14:09 (61) //
  - Хотя, впрочем, должен получить через SCRIPT_FILENAME , anonymous, 04-Май-12, 14:33 (63)
- Мне другой вопрос гораздо интереснее разве всё, что после идёт, не должно п, anonymous, 04-Май-12, 14:14 (62) //
  - php-cgi путь до скрипта получает через переменную окружения В всегда наход, Аноним, 04-Май-12, 18:16 (65)
php, такой php , Test, 04-Май-12, 18:49 (66) //
- в win32 на проверяемом сервере оказалось, что запуск производится вообще просто , Аноним, 05-Май-12, 12:26 (74) //
  - Чуть ошибся я в проверке Действительно, как и указано в спецификации CGI, если , Аноним, 05-Май-12, 17:49 (96)
Дак просто используем следующий врапер, а не php-cgi сам usr bin php-cgiи проб, Аноним, 05-Май-12, 07:06 (72)
Или для винды phpcgi cmd echo offc php php-cgi exe, Аноним, 05-Май-12, 12:20 (73)
В связке nginx php-fpm все спокойно, ничего воспроизвести не удалось Можно спат, Юрий, 05-Май-12, 14:08 (75)
Cкрипты, выполняемые с использованием mod_php и FastCGI например, связки ngin, Алексей Добров, 05-Май-12, 14:32 (76) //
- например для одновременной работы разныхверсий пхп , Аноним, 05-Май-12, 14:38 (77) //
  - И как часто требуется одновременная работа разных версий PHP , Алексей Добров, 05-Май-12, 14:44 (78) //
    - на хостингах - бывает , Аноним, 05-Май-12, 14:52 (79)
      - Ну, вообще говоря, обычно на хостингах в случае apache это решается одной стро, Алексей Добров, 05-Май-12, 15:03 (81)
        
        строчку покажите, Аноним, 05-Май-12, 15:15 (83)
        
        Например, так AddType application x-httpd-php53 phpСм http prog-school ru 2, Алексей Добров, 05-Май-12, 15:21 (85)
        
        ну это только с юзерской стороны одна строчка mod_php не обеспечивает должног, Аноним, 05-Май-12, 15:46 (86)
    - Не часто, но бывает Мне вот на днях пришлось перенести на свой сервер два проект, Юрий, 05-Май-12, 14:58 (80)
      - Да уж, веселые приключения Но все же Вам для этого не потребовалось запускать, Алексей Добров, 05-Май-12, 15:14 (82)
  - Ну это если только религия не позволяет заменить php5_module на php51_module, ph, AlexAT, 05-Май-12, 16:11 (87)
- На некоторых sharing-хостингах это обычная практика , Аноним, 05-Май-12, 23:30 (99) //
  - if query_string getenv QUERY_STRING NULL strchr query_string, , Аноним, 09-Май-12, 12:33 (105)
Критическая уязвимость в PHP. Обновления PHP 5.3.12 и PHP 5...., Аноним, 23-Дек-13, 08:59 (107)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру