forum.opennet.ru - "Обновление PHP 5.5.12 с устранением уязвимости в PHP-FPM" (6)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Обновление PHP 5.5.12 с устранением уязвимости в PHP-FPM"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Обновление PHP 5.5.12 с устранением уязвимости в PHP-FPM"	+/–
Сообщение от opennews (??) on 01-Май-14, 16:57
Доступен (http://php.net/index.php#id2014-04-30-1) корректирующий выпуск интерпретатора языка программирования PHP 5.5.12, в котором отмечено 21 исправление (http://www.php.net/ChangeLog-5.php#5.5.12). В расширении PHP-FPM (менеджер процессов FastCGI) устранена уязвимость (http://www.openwall.com/lists/oss-security/2014/04/29/5) (CVE-2014-0185), позволяющая локальному пользователю, имеющему доступ к UNIX-сокету php-fpm, по умолчанию создаваемому с правами 0666, выполнить произвольный PHP-код с правами работающего пула процессов FastCGI (например, в Ubuntu 14.04 можно выполнить код под пользователем www-data). URL: http://php.net/index.php#id2014-04-30-1 Новость: http://www.opennet.me/opennews/art.shtml?num=39686
Ответить \| Правка \| Cообщить модератору

Оглавление

Обновление PHP 5.5.12 с устранением уязвимости в PHP-FPM, PavelR, 17:28 , 01-Май-14, (4)

Обновление PHP 5.5.12 с устранением уязвимости в PHP-FPM, Мимо шёл упырь, 18:47 , 01-Май-14, (5)

Обновление PHP 5.5.12 с устранением уязвимости в PHP-FPM, EuPhobos, 23:42 , 01-Май-14, (9)

Обновление PHP 5.5.12 с устранением уязвимости в PHP-FPM, Аноним, 08:21 , 02-Май-14, (10)

Обновление PHP 5.5.12 с устранением уязвимости в PHP-FPM, www2, 14:09 , 02-Май-14, (11)
Обновление PHP 5.5.12 с устранением уязвимости в PHP-FPM, Sw00p aka Jerom, 15:04 , 02-Май-14, (12)

Сообщения по теме [Сортировка по времени | RSS]

4. "Обновление PHP 5.5.12 с устранением уязвимости в PHP-FPM" +/–

Сообщение от PavelR (??) on 01-Май-14, 17:28

И как они это пофиксили? Баг помечен "приватным", конечно, супердыра жеж - надо скрыть, что по дефолту теперь не 666 а 660, да.
Прописывать "listen.mode = 0660" уже не в почете, понимаю, да.

Или они как-то по-другому это поправили и теперь "локальный пользователь, даже имеющий доступ к UNIX-сокету php-fpm, по умолчанию созданному с правами 0666, _НЕ СМОЖЕТ_ выполнить произвольный PHP-код с правами работающего пула процессов" ??

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Обновление PHP 5.5.12 с устранением уязвимости в PHP-FPM" +/–

Сообщение от Мимо шёл упырь on 01-Май-14, 18:47

Поменяли дефолтные права?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

9. "Обновление PHP 5.5.12 с устранением уязвимости в PHP-FPM" +/–

Сообщение от EuPhobos (ok) on 01-Май-14, 23:42

Что за глупость, само собой если процесс запущен от некого пользователя и пул доступен всем, код будет выполнен от запустившего этот процесс..

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Обновление PHP 5.5.12 с устранением уязвимости в PHP-FPM" +/–

Сообщение от Аноним (??) on 02-Май-14, 08:21

> Что за глупость, само собой если процесс запущен от некого пользователя и
> пул доступен всем, код будет выполнен от запустившего этот процесс..
fpm запускает php-скрипты пользователей с правами этих пользователей. Уязвимость позволяет обойти ограничение на запуск скрипта только под своими правами.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Обновление PHP 5.5.12 с устранением уязвимости в PHP-FPM" +/–

Сообщение от www2 (??) on 02-Май-14, 14:09

Но ведь это же костыли. Раз админ назначил такие права - значит это либо нужно, либо он сам дурак. Запрещать делать опасное нормальным админам только лишь для того, чтобы идиоты не выстрелили себе в ногу - ненормальная практика. Может быть именно это админ и имел в виду - дать всем локальным пользователям, например, менять свой пароль. Или перемонтировать диски (мало ли).
А тут кто-то решает, что так делать нельзя, потому что есть толпа дураков, которые не осознают опасности и дают доступ всем на всё подряд. После этого для дураков всё остаётся как и прежде, только разумным людям теперь приходится прилагать дополнительные усилия, чтобы обеспечить штатную работу системы (например - включать всех пользователей в специально созданную для этого группу).

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Обновление PHP 5.5.12 с устранением уязвимости в PHP-FPM" +/–

Сообщение от Sw00p aka Jerom on 02-Май-14, 15:04

>обойти ограничение на запуск скрипта только под своими правами.
как так, если socket owner явно указан? дело в правах на запись остальным пользователям

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

4. "Обновление PHP 5.5.12 с устранением уязвимости в PHP-FPM"	+/–
Сообщение от PavelR (??) on 01-Май-14, 17:28
И как они это пофиксили? Баг помечен "приватным", конечно, супердыра жеж - надо скрыть, что по дефолту теперь не 666 а 660, да. Прописывать "listen.mode = 0660" уже не в почете, понимаю, да. Или они как-то по-другому это поправили и теперь "локальный пользователь, даже имеющий доступ к UNIX-сокету php-fpm, по умолчанию созданному с правами 0666, _НЕ СМОЖЕТ_ выполнить произвольный PHP-код с правами работающего пула процессов" ??
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	5. "Обновление PHP 5.5.12 с устранением уязвимости в PHP-FPM"	+/–
	Сообщение от Мимо шёл упырь on 01-Май-14, 18:47
	Поменяли дефолтные права?
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору

9. "Обновление PHP 5.5.12 с устранением уязвимости в PHP-FPM"	+/–
Сообщение от EuPhobos (ok) on 01-Май-14, 23:42
Что за глупость, само собой если процесс запущен от некого пользователя и пул доступен всем, код будет выполнен от запустившего этот процесс..
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	10. "Обновление PHP 5.5.12 с устранением уязвимости в PHP-FPM"	+/–
	Сообщение от Аноним (??) on 02-Май-14, 08:21
	> Что за глупость, само собой если процесс запущен от некого пользователя и > пул доступен всем, код будет выполнен от запустившего этот процесс.. fpm запускает php-скрипты пользователей с правами этих пользователей. Уязвимость позволяет обойти ограничение на запуск скрипта только под своими правами.
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	11. "Обновление PHP 5.5.12 с устранением уязвимости в PHP-FPM"	+/–
	Сообщение от www2 (??) on 02-Май-14, 14:09
	Но ведь это же костыли. Раз админ назначил такие права - значит это либо нужно, либо он сам дурак. Запрещать делать опасное нормальным админам только лишь для того, чтобы идиоты не выстрелили себе в ногу - ненормальная практика. Может быть именно это админ и имел в виду - дать всем локальным пользователям, например, менять свой пароль. Или перемонтировать диски (мало ли). А тут кто-то решает, что так делать нельзя, потому что есть толпа дураков, которые не осознают опасности и дают доступ всем на всё подряд. После этого для дураков всё остаётся как и прежде, только разумным людям теперь приходится прилагать дополнительные усилия, чтобы обеспечить штатную работу системы (например - включать всех пользователей в специально созданную для этого группу).
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	12. "Обновление PHP 5.5.12 с устранением уязвимости в PHP-FPM"	+/–
	Сообщение от Sw00p aka Jerom on 02-Май-14, 15:04
	>обойти ограничение на запуск скрипта только под своими правами. как так, если socket owner явно указан? дело в правах на запись остальным пользователям
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору