Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в PHP, позволяющая выполнить код при работе в режиме CGI"	+/–
Сообщение от opennews (??), 07-Июн-24, 11:54
В PHP выявлена уязвимость (CVE-2024-4577), позволяющая добиться выполнения своего кода на сервере или просмотра  исходного кода PHP-скрипта в случае использования PHP в режиме CGI на платформе Windows (конфигурации с mod_php, php-fpm и FastCGI уязвимости не подвержены). Проблема устранена в выпусках PHP 8.3.8, 8.2.20 и 8.1.29... Подробнее: https://www.opennet.me/opennews/art.shtml?num=61332
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 07-Июн-24, 11:54	+11 +/–
PHP на винде, извращенцы
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6

2. Сообщение от Tron is Whistling (?), 07-Июн-24, 12:00	+4 +/–
Так это не в PHP уЁзвимость, а в винде.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #33

3. Сообщение от Tron is Whistling (?), 07-Июн-24, 12:01	+8 +/–
Какой бибип додумался прочерки из локалей конвертить в минус в командной строке, интересно...
Ответить | Правка | Наверх | Cообщить модератору

6. Сообщение от Gemorroj (ok), 07-Июн-24, 12:14	–5 +/–
для разработки самое то
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #8, #12, #32

7. Сообщение от Аноним (7), 07-Июн-24, 12:43	+7 +/–
Винда... cgi... PHP... 2024-й... в этой мультивселенной ход истории пошел иначе.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9, #16

8. Сообщение от Аноним (8), 07-Июн-24, 13:11	+6 +/–
это да, денвер, нотепад++ и фтп-клиент.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #10, #15

9. Сообщение от Сисян (?), 07-Июн-24, 13:18	+6 +/–
Действительно. Ведь для комментирования опеннета тебе кроме браузера больше ничего не нужно!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

10. Сообщение от Аноним (10), 07-Июн-24, 13:19	+18 +/–
Мамонт в здании!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #11

11. Сообщение от Аноним (11), 07-Июн-24, 13:35	+/–
php4 нужен, это уже динозавр
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #19

12. Сообщение от Аноним (12), 07-Июн-24, 13:40	+/–
wsl2
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

13. Сообщение от Аноним (12), 07-Июн-24, 13:42	+4 +/–
cgi в php - это вообще код времен года этак 2002-го, с пачкой костылей для вебсерверов тех времён, который не выбрасывают просто потому что до сих пор есть странные личности, которые этим пользуются. Лучше это вообще не трогать
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #27

15. Сообщение от Аноним (15), 07-Июн-24, 13:52	+/–
https://seditio.org/dev/denwer-php-8-1-16-plus-mysql-5-7-15-...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #44, #73

16. Сообщение от Аноним (16), 07-Июн-24, 13:54	+5 +/–
>PHP в режиме CGI на платформе Windows >Проблема проявляется в конфигурации по умолчанию в наборе XAMPP Понижали планку вхождения в веб разработку - допонижались...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #23, #82

19. Сообщение от Аноним (19), 07-Июн-24, 15:01	+/–
Ну хоть не php6 и то хорошо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #43

23. Сообщение от Аноним (23), 07-Июн-24, 15:21	+2 +/–
я не согласен! есть ещё перспективы для обратного роста!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

27. Сообщение от YetAnotherOnanym (ok), 07-Июн-24, 17:17	+/–
Ничего странного - у кого-то банкинг на Коболе, у кого-то станок с ЧПУ на ДОС 6.22, а у кого-то сайт на Апач+ПХП.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #28, #34

28. Сообщение от Аноним (52), 07-Июн-24, 17:21	+7 +/–
> а у кого-то сайт на Апач+ПХП У 90% вэба. Да.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #37

32. Сообщение от noc101 (ok), 07-Июн-24, 18:44	–2 +/–
на винде только обучаться. И то только по началу. В целом разработка ведется на Линуксе. Банально проще и быстрей поднять виртуалку и настроить ЛАМПу, чем на винде с этим сношаться. А потом словить кучу ОС-е зависимых ошибок при переезде. Веб на винде это глупость, даже для разработки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #52

33. Сообщение от noc101 (ok), 07-Июн-24, 18:45	+/–
Нет. Это уязвимость в РНР. Так как без РНР нет уязвимости в винде.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #61

34. Сообщение от noc101 (ok), 07-Июн-24, 18:49	+/–
Обосрался и сидит довольный) На 2020 год в глобальной сети наибольшей популярностью пользуются серверы: Apache (40.89%) Nginx (23.77%) IIS (16.45%) LiteSpeed (1.96%) Apache Traffic Server (0.55%) OpenGSE (0.42%) Phusion Passenger (0.40%) Apache Tomcat (0.19%) Tengine (0.14%) lighttpd (0.14%) И сегодня PHP используется почти в 78% всех сайтов
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #35

35. Сообщение от Самый Лучший Гусь (?), 07-Июн-24, 19:24	+/–
> IIS (16.45%) Вот это насотоящее извращение. Зачем так жить вобще?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #36, #38, #41

36. Сообщение от Аноним (36), 07-Июн-24, 19:35	+/–
Вроде там чуть ли не половина - это какой-то крупный паркинг доменов
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #83

37. Сообщение от нах. (?), 07-Июн-24, 20:06	+2 +/–
но ведь мыж его прикрыли nginx'иком, разьве ж не?! Еще в 2021м!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #58

38. Сообщение от Nonim (?), 07-Июн-24, 20:52	+1 +/–
Внезапно, но на Западе винда в качестве веб сервера далеко не редкость.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #39, #40

39. Сообщение от Аноним (39), 07-Июн-24, 20:55	+/–
В основном крупные корпоративные помойки, и им аспнет нужен. Как сервер он конечно достаточно поганый, вся венда не подходит для таких задач.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

40. Сообщение от Аноним (58), 07-Июн-24, 21:00	+1 +/–
Внезапно сайт стековепфлоу на винде.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #45

41. Сообщение от noc101 (ok), 07-Июн-24, 21:00	+/–
>> IIS (16.45%) > Вот это насотоящее извращение. Зачем так жить вобще? Хотел бы я сказать, что не знаю. Но я лять знаю... Не могу сказать за весь мир. Но у нас в СНГ, IIS используется часто для 1С. 1С работает через него. Можно и через апач, но это геморрой. С ИИС тоже геморрой, но меньше чем с апачем и линухом. Какая же это боль. Кто придумал ИИС должен гореть в аду на отдельной кочерге.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #56, #60

42. Сообщение от Аноним (58), 07-Июн-24, 21:01	+1 +/–
Где эти свидетелей что нет уязвимости пока не найдены сырцы? Их уже протроянили насквозь через пыху?
Ответить | Правка | Наверх | Cообщить модератору

43. Сообщение от noc101 (ok), 07-Июн-24, 21:02	+/–
> Ну хоть не php6 и то хорошо. Так РНР6 не существует)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #49

44. Сообщение от noc101 (ok), 07-Июн-24, 21:03	+/–
> https://seditio.org/dev/denwer-php-8-1-16-plus-mysql-5-7-15-... Когдато мы дождемся Денвер 4...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

45. Сообщение от Аноним (45), 07-Июн-24, 22:32	+/–
Если он у них на ASP.NET, это вовсе не значит, что крутит его винда.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #47

46. Сообщение от Аноним (-), 07-Июн-24, 23:23    Скрыто ботом-модератором	–1 +/–
> в случае использования PHP в режиме CGI на платформе Windows Предлагаю объявить это фичой - ремотное управление системой :). И конечно не чинить ни в коем разе. Зачем CVE юзерам винды? Они им похрен.
Ответить | Правка | Наверх | Cообщить модератору

47. Сообщение от Аноним (47), 07-Июн-24, 23:24	+2 +/–
Нет, он именно что на винде. Спольски про это писал неоднократно, с цифрами. Фанатам опенсорса пригорает, но за ответами всё равно на стэковерфлоу бегают, стыд глаза не ест.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #50, #59

49. Сообщение от Аноним (19), 07-Июн-24, 23:43	+1 +/–
Ну так и я о чем. Слишком много условий для удачной эксплуатации данной баги: винда, локаль, cgi.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

50. Сообщение от Аноним (52), 08-Июн-24, 00:24	+1 +/–
> за ответами всё равно на стэковерфлоу бегают Уже давно нет. Нейросети убили стэковерфлоу. Ты можешь копротивляться, но факт штука упрямая.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #55, #69

52. Сообщение от Аноним (52), 08-Июн-24, 02:18	–5 +/–
> В целом разработка ведется на Линуксе. Нынче ставить Linux для кодинга вообще не имеет никакого смысла. И нет никого, кто бы мог доказать обратное. Так что глупость пишете именно Вы! Видимо, ваша "винда" - это какая-то XP из 2007 года. > Банально проще и быстрей поднять виртуалку и настроить ЛАМПу Ух... сразу видно - пишет ностоящий экспepт!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #64, #65, #67, #74

55. Сообщение от Аноним (58), 08-Июн-24, 06:24	+1 +/–
Только в твоём воображении. Многие работодатели прямо запрещают использовать нейросети из-за лицензионных и прочих вопросов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50 Ответы: #71, #75

56. Сообщение от Аноним (58), 08-Июн-24, 06:27	+/–
1С итак не на винде относительно недавно. Так что винда платформа номер 1, тогда выбор ИИС вполне разумен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

58. Сообщение от Аноним (58), 08-Июн-24, 06:38	+2 +/–
Например зачем? Нжинкс типа нжинкс ускоряет Апач? Шапочки из фольги?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #62, #68

59. Сообщение от Бывалый Смузихлёб (ok), 08-Июн-24, 08:09	+/–
проблема штук вроде переполнения стека в том, что ответов на реально серьёзные вопросы и проблемы там почти никогда нет. Зато есть куча бесполезного мусора и целая гора сайтов, копирующих содержимое и самих тем и заголовков
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #70

60. Сообщение от Бывалый Смузихлёб (ok), 08-Июн-24, 08:11	+/–
Ну а где ИИС - там и МС СКЛ Сервер и прочие, обычно платные, радости
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #72

61. Сообщение от Tron is Whistling (?), 08-Июн-24, 10:36	+/–
Точнее - без винды нет уязвимости в PHP.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

62. Сообщение от YetAnotherOnanym (ok), 08-Июн-24, 10:52	+1 +/–
Для SSL-offload, например.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58

63. Сообщение от Аноним (63), 08-Июн-24, 11:26	–1 +/–
php это самый безопасный язык. Банально дело в арифметике: количество задействованных ресурсов на поиск и устранение уязвимостей тут находится на уровне, совершенно недоступном другим языкам программирования.
Ответить | Правка | Наверх | Cообщить модератору

64. Сообщение от JackONeill (?), 08-Июн-24, 12:42	–1 +/–
Мощно задвинул. Этому больше не наливать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

65. Сообщение от JackONeill (?), 08-Июн-24, 12:58	+/–
А на чем нынче надо кодить? Где есть смысл?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #66

66. Сообщение от noc101 (ok), 08-Июн-24, 13:07	+/–
> А на чем нынче надо кодить? Где есть смысл? Он наверное пользуется WSL ))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65

67. Сообщение от noc101 (ok), 08-Июн-24, 13:10	–2 +/–
>> В целом разработка ведется на Линуксе. > Нынче ставить Linux для кодинга вообще не имеет никакого смысла. И нет > никого, кто бы мог доказать обратное. Так что глупость пишете именно > Вы! Видимо, ваша "винда" - это какая-то XP из 2007 года. Тут без комментариев, сразу видно ты про WSL, ну то есть линукс на винде. Неуч блин)) >> Банально проще и быстрей поднять виртуалку и настроить ЛАМПу > Ух... сразу видно - пишет ностоящий экспepт! Развернуть лампу от загрузки образа до запуска сайта, примерно 30 минут. Это установка ОСи, первичная настройка ОСи, установка и настройка Лампы. Если есть гипервизор, то минут 20 от силы. Но ты эксперт продолжай позорится.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

68. Сообщение от нах. (?), 08-Июн-24, 13:14	+/–
> Например зачем? Нжинкс типа нжинкс ускоряет Апач? Шапочки из фольги? Двойной!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58

69. Сообщение от нах. (?), 08-Июн-24, 13:15	+2 +/–
>> за ответами всё равно на стэковерфлоу бегают > Уже давно нет. Нейросети убили стэковерфлоу. теперь на него за ответами тебе бегает недосеть... или как там ее? > Ты можешь копротивляться, но факт штука упрямая. факт в том что недосети не имеют разума. И просто цитируют тебе большими кусками мусор найденый ими в интернете. Который ты и сам бы мог найти, если бы имел разум. Но в этом ты уже с ними почти сравнялся.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50 Ответы: #76

70. Сообщение от нах. (?), 08-Июн-24, 13:19	+1 +/–
> проблема штук вроде переполнения стека в том, что ответов на реально серьёзные > вопросы и проблемы там почти никогда нет. просто некогда, некогда читать ответы, эджайл не ждет! Вон прямо из вопроса скопируй, че ты как этотвот, не важно что вопрос был "почему оно не работает" - может у тебя-то и заработает даже. Недосети тоже самое кстати и делают. И контингент опеннета тоже. Ну а если ты двадцать раз переформулировал поисковый запрос, и на 21 получил свой же вопрос заданный на мертвом форуме пять лет назад - поздравляю, ты редкостный невезунчик и напоролся на реальную проблему не имеющую решения. Пиши три конверта.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #85

71. Сообщение от нах. (?), 08-Июн-24, 13:19	+/–
> Только в твоём воображении. Многие работодатели прямо запрещают использовать нейросети > из-за лицензионных и прочих вопросов. моргни, если тебя даже в шаббат не отковывают от стойки!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

72. Сообщение от нах. (?), 08-Июн-24, 13:21	+/–
> Ну а где ИИС - там и МС СКЛ Сервер и прочие, > обычно платные, радости не завидуй, тебе в зарплату эти деньги перевести невозможно никак, вообще никаким образом, в принципе (к тому же эти копейки тебя не спасут)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60 Ответы: #84

73. Сообщение от нах. (?), 08-Июн-24, 13:28	+/–
> https://seditio.org/dev/denwer-php-8-1-16-plus-mysql-5-7-15-... передай им что мыскль5 уже немодно и я его не буду им ставить - хоть режьте! А на восьмом их кривой дамп разумеется даже и не сымпортится. И вообще главный велел переходить на постгрезпро. Так что выбрасывайте уже свою любимую windowsXP и переходите на дисяточку с wsl, как у всех разработчиков-под-линoops (хреновых, у хороших-то мак, но они вряд ли на пыхе лабают).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

74. Сообщение от Аноним (74), 08-Июн-24, 13:28	+/–
Соглашусь. Даже wsl смысла не имеет. Тут либо нужно быть кoнчeнным фaнатиком, чтобы ставить линпyкc для "разработки" либо просто дeбилoм (как cтaдо отписавшихся выше).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #78, #79, #81

75. Сообщение от Аноним (74), 08-Июн-24, 13:30	+/–
> Многие работодатели прямо требуют умение пользоваться llm для кодинга Фиксанул не благодари.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

76. Сообщение от Аноним (74), 08-Июн-24, 13:32	+1 +/–
Ты можешь ещё долго сопротивляться, но таких как ты увольняют пачками. Только в нашей компании автоматизировали за прошлый год 12 джунов и 4 мидлов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69 Ответы: #77

77. Сообщение от нах. (?), 08-Июн-24, 15:12	+/–
нет, глупенький - это таких как ты увольняют пачками. А я за свое будущее совершенно спокоен, умение быстропогуглить в мои необходимые скиллы вообще не входит (потому что не поможет) Что там кстати про уборщиц, давно не слышал. А то ж любимый анекдот вспомнился... теперь вот про твоих мидлов с сеньорами будут его видимо рассказывать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76

78. Сообщение от нах. (?), 08-Июн-24, 15:21	+/–
> Соглашусь. Даже wsl смысла не имеет. конечно не имеет  - как ты его на новый m2й макбучек вообще поставишь-то?!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74

79. Сообщение от JackONeill (?), 08-Июн-24, 15:33	+2 +/–
Жесть) у меня слов нет))) что вы несете?)))))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74

80. Сообщение от Kuromi (ok), 08-Июн-24, 18:07	+/–
"Уязвимость подтверждена в конфигурациях с локалями для традиционного китайского (cp950), упрощённого китайского (cp936) и японского (cp932) языков" Ох уж эти иероглифы...
Ответить | Правка | Наверх | Cообщить модератору

81. Сообщение от noc101 (ok), 08-Июн-24, 18:35	+1 +/–
> Соглашусь. Даже wsl смысла не имеет. Тут либо нужно быть кoнчeнным фaнатиком, > чтобы ставить линпyкc для "разработки" либо просто дeбилoм (как cтaдо отписавшихся > выше). Надо быть не фанатиком, а профессионалом) Но я понимаю, для "разработки" в CMS линукс не нужен, сиди себе галочки расставляй. Какой тут линукс))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74

82. Сообщение от Аноним (-), 09-Июн-24, 19:52	+/–
> Понижали планку вхождения в веб разработку - допонижались... Видел как-то давно студня, он читал книгу "программирование на PHP" на лекции. Соседи спрашивали - что за рэ-нэ-рэ такое?! :)). Ну, вот, глядишь им тоже захотелось - а вместо чтения книги поди лектора слушали, с какой там очень полезной и нужной по жизни лабудой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

83. Сообщение от Аноним (-), 09-Июн-24, 19:54	+/–
> Вроде там чуть ли не половина - это какой-то крупный паркинг доменов Годядик еще не выкинул эту хрень? Но если что - у нормальных мониторилок заявились штуки типа "active sites" чтобы отличать паркинги от всего остального. И, конечно, там IIS где-то в придонном иле болтается.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

84. Сообщение от Бывалый Смузихлёб (ok), 10-Июн-24, 16:43	+/–
Ну там не сильно то и копейки были, хотя к счастью, от всего этого я вовремя отошёл Но, не завидую. Даже наоборот. Всегда виделось нелепым такие горы бабла просаживать вникуда
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72 Ответы: #86

85. Сообщение от Бывалый Смузихлёб (ok), 10-Июн-24, 16:48	+/–
> Пиши три конверта Может, сразу на гербовой ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70

86. Сообщение от нах. (?), 10-Июн-24, 18:31	–1 +/–
копейки, копейки. Ты просто вспомни что это разово, а тебе и тому вот дол6... твоему приятелю аванс, зарплату и премию по итогам года давай. А с них еще столько же - налогов. А те вот - наоборот, с налога частично списываются.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #84

87. Сообщение от Ilya Indigo (ok), 12-Июн-24, 16:35	+/–
У меня 15 лет стажа, а я даже не знаю как PHP в CGI-режиме использовать, что это такое и нафиг оно вообще нужно, когда есть CLI и FPM (FastCGI)?
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема