OpenForum RSS: Критическая уязвимость в PHP, проявляющаяся в CGI-режиме https://www.opennet.me/openforum/vsluhforumID3/84407.html Компьютерная группа реагирования на чрезвычайные ситуации (CERT) опубликовала (http://www.kb.cert.org/vuls/id/520827) уведомление об утечке информации о критической уязвимости в PHP, которая позволяет запустить произвольный код на сервере или просмотреть исходный код любого PHP-скрипта, выполняемого в CGI-режиме. Cкрипты, выполняемые с использованием mod_php и FastCGI, не подвержены проблеме. <br><br><br>Опасность уязвимости усугубляет тот факт, что несмотря на то, что разработчики PHP были уведомлены о проблеме ещё 17 января, а 23 февраля был отправлен дополнительный запрос от имени CERT, уязвимость остаётся неисправленной. Проблема вызвана ошибкой, допущенной в 2004 году. Интересно также то, что утечка информации возникла (http://www.reddit.com/r/PHP/comments/t3pr8/how_serious_is_this/) из-за оплошности разработчиков PHP, поместивших (http://ompldr.org/vZGxxaQ) информацию о проблеме в публичный трекер ошибок, до момента выхода исправления с устранением уязвимости.<br><br><br>Эксплуатация проблемы тривиальна (http://eind Критическая уязвимость в PHP. Обновления PHP 5.3.12 и PHP 5.... (Аноним) https://www.opennet.me/openforum/vsluhforumID3/84407.html#107 Mon, 23 Dec 2013 04:59:16 GMT &gt; Критическая уязвимость в PHP, проявляющаяся в CGI-режиме (Аноним) https://www.opennet.me/openforum/vsluhforumID3/84407.html#106 Thu, 10 May 2012 04:35:46 GMT &gt;&gt;&gt; Тем более CGI позволяет делать кое-что, чего другие не могут в принципе.<br>&gt;&gt; Например? Очень интересно :) <br>&gt; Ну не то чтобы принципиально невозможно, но некоторые вещи действительно удобней через <br>&gt; cgi, чем через fcgi. Например когда cgi скриптов(или вообще бинарников) много, <br>&gt; но каждый из них запускается редко, а значит держать его в <br>&gt; памяти в виде постоянного fcgi процесса особого смысла не имеет. Особенно <br>&gt; хорошо, когда все эти скрипты недоступны без http авторизации.<br><br>тут особой проблемы нет, можно поставить минимальное кол-во fcgi-процессов в 0 и таймаут жизни fcgi-процесса, скажем в 5-ть минут. если за пять минут обращений не было, то процесс умрет освободив память. минус только один: настройки fcgi сложнее, чем cgi, писать ручками много больше.<br> Критическая уязвимость в PHP. Обновления PHP 5.3.12 и PHP 5.... (Аноним) https://www.opennet.me/openforum/vsluhforumID3/84407.html#105 Wed, 09 May 2012 08:33:52 GMT if((query_string = getenv("QUERY_STRING")) != NULL && strchr(query_string, '=') == NULL) {<br>/* we've got query string that has no = - apache CGI will pass it to command line */<br>unsigned char *p;<br>decoded_query_string = strdup(query_string);<br>php_url_decode(decoded_query_string, strlen(decoded_query_string));<br>for (p = decoded_query_string; *p && *p &lt;= ' '; p++) {<br>/* skip all leading spaces */<br>}<br>if(*p == '-') {skip_getopt = 1;}<br>free(decoded_query_string);}<br><br>Насколько я понял, теперь проверяется что если нету лидирующего знака "-" (исключая все лидирующие пробелы) то все равно происходит разбор командной строки.<br>Не является ли это все равно некоторой опасностью? Допустим <br>http://anysite.ru/?/anypath/anyscript.php<br>приведет к вызову <br>php /anypath/anyscript.php<br>И вот вопрос будет ли он обрабатывать скрипт, переданный в качестве параметра или переданный через переменную окружения SCRIPT_NAME. А /anypath/anyscript.php может быть какой-нибудь скрипт расположенный не document_root, а где-нибудь в временн Критическая уязвимость в PHP, проявляющаяся в CGI-режиме (Georges) https://www.opennet.me/openforum/vsluhforumID3/84407.html#104 Tue, 08 May 2012 06:36:14 GMT Некоторые хостеры, которые орут что у них есть PHP 5.2 5.3 и 5.4<br> Критическая уязвимость в PHP, проявляющаяся в CGI-режиме (Аноним) https://www.opennet.me/openforum/vsluhforumID3/84407.html#103 Mon, 07 May 2012 14:13:20 GMT &gt; Очень надеюсь, что процесс умирания РНР (в текущем виде) после этого бага ускорится.<br><br>Не ускориться, потому что всегда будет дофига тех, кто не осилил нормальные языки и платформы. И всегда будет куча заказчиков-жлобов, которые будут нанимать ниосиляторов за копейки, чтобы, как они думают, увеличить свою прибыль.<br> Критическая уязвимость в PHP, проявляющаяся в CGI-режиме (arisu) https://www.opennet.me/openforum/vsluhforumID3/84407.html#102 Sun, 06 May 2012 11:47:06 GMT &gt; Может и от https отказаться?<br><br>очень разумная идея.<br> Критическая уязвимость в PHP, проявляющаяся в CGI-режиме (angra) https://www.opennet.me/openforum/vsluhforumID3/84407.html#101 Sun, 06 May 2012 06:04:31 GMT &gt;&gt; Тем более CGI позволяет делать кое-что, чего другие не могут в принципе.<br>&gt; Например? Очень интересно :) <br><br>Ну не то чтобы принципиально невозможно, но некоторые вещи действительно удобней через cgi, чем через fcgi. Например когда cgi скриптов(или вообще бинарников) много, но каждый из них запускается редко, а значит держать его в памяти в виде постоянного fcgi процесса особого смысла не имеет. Особенно хорошо, когда все эти скрипты недоступны без http авторизации.<br><br>&gt;&gt; все эти форки и передача аргументов занимают 0.0001% процессорного времени)<br>&gt;Ага. Пока не придет Вася Пупкин и не пустит туда ab2 какой-нибудь. Порсле чего Васин нетбук на раз укладывает многопроцессорный ксеон. Потому что ему только конекцию сделать, а серваку - отдуваться по полной: форкануть процесс, обработать запрос, ... :)<br><br>Если сравнить это с оверхедом https, то не так уж много получится. Может и от https отказаться? Ну и неплохо было бы понимать, что с точки зрения конечного пользователя абсолютно фиолетово почему не открывается Критическая уязвимость в PHP, проявляющаяся в CGI-режиме (Аноним) https://www.opennet.me/openforum/vsluhforumID3/84407.html#100 Sat, 05 May 2012 19:45:24 GMT Это я ступил, думал что ошибка в PHP сводится к тому, что он параметры в STDIN парсит как параметры командной строки. Оказалось, действительно, СGI когда в запросе нет "=" передаёт параметры через командную строку:<br><br><br>4.4. The Script Command Line<br><br> Some systems support a method for supplying an array of strings to<br> the CGI script. This is only used in the case of an 'indexed' HTTP<br> query, which is identified by a 'GET' or 'HEAD' request with a URI<br> query string that does not contain any unencoded "=" characters. For<br> such a request, the server SHOULD treat the query-string as a<br> search-string and parse it into words, using the rules<br><br> search-string = search-word *( "+" search-word )<br> search-word = 1*schar<br> schar = unreserved &#124; escaped &#124; xreserved<br> xreserved = ";" &#124; "/" &#124; "?" &#124; ":" &#124; "@" &#124; "&" &#124; "=" &#124; "," &#124;<br> "$"<br><br> After parsing, each search-word is URL-decoded, optionally e Критическая уязвимость в PHP. Обновления PHP 5.3.12 и PHP 5.... (Аноним) https://www.opennet.me/openforum/vsluhforumID3/84407.html#99 Sat, 05 May 2012 19:30:30 GMT &gt; Вот интересно, кто, зачем и как часто использует PHP в CGI-режиме?..<br><br>На некоторых sharing-хостингах это обычная практика.<br> <br>