The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"OpenNews: Возможность обхода ограничений Open_Basedir в PHP"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [Проследить за развитием треда]

"OpenNews: Возможность обхода ограничений Open_Basedir в PHP"  
Сообщение от opennews (??) on 05-Окт-06, 16:49 
В PHP4 и PHP5 обнаружена новая проблема безопасности (http://www.hardened-php.net/advisory_082006.132.html), дающая возможность злоумышленнику получить доступ ко всей файловой системе несмотря на ограничения Open_Basedir.


В качестве временного решения достаточно запретить использование функции symlink() через disable_functions в php.ini.

URL: http://secunia.com/advisories/22235/
Новость: http://www.opennet.dev/opennews/art.shtml?num=8466

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Возможность обхода ограничений Open_Basedir в PHP"  
Сообщение от Dyr email(??) on 05-Окт-06, 16:49 
За..ли PHP'цы со своими многочисленными дырками. Это помимо всего прочего.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Возможность обхода ограничений Open_Basedir в PHP"  
Сообщение от BOLK email on 06-Окт-06, 13:39 
Почему вас это беспокоит?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Возможность обхода ограничений Open_Basedir в PHP"  
Сообщение от si on 05-Окт-06, 16:54 
кстати в mod_perl нету даже такого хоить и кривого решения
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Возможность обхода ограничений Open_Basedir в PHP"  
Сообщение от Userr on 05-Окт-06, 18:39 
к счастью
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Возможность обхода ограничений Open_Basedir в PHP"  
Сообщение от hellbot on 05-Окт-06, 18:26 
Да что же все так не любят php ?
Забыли добавить что подвержены данной проблеме только Nix системы, потому как Windows - слишком ущербная для этого. И если хотя бы одна из платформ не подвержена, значит проблема не языка ?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Возможность обхода ограничений Open_Basedir в PHP"  
Сообщение от smb on 05-Окт-06, 20:08 
А что, господин рассматривает windows как платформу для организации web-сервера с PHP?Удачи...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Возможность обхода ограничений Open_Basedir в PHP"  
Сообщение от Квагга on 06-Окт-06, 13:36 
Для разработки - да. 99% известных мне разработчиков сидят на XP. WAMP.
И Cygwin X.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Возможность обхода ограничений Open_Basedir в PHP"  
Сообщение от snov (??) on 06-Окт-06, 18:37 
Какие проблемы с безопасностью на хосте разработчика? :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Возможность обхода ограничений Open_Basedir в PHP"  
Сообщение от hellbot on 06-Окт-06, 21:34 
С тех самых пор, как специфическая возможность ОС стала ошибкой языка, хотя решать вопросы безопастности должен вебсервер который для всех платформ един.

А пока сплошные заплатки и костыли.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Возможность обхода ограничений Open_Basedir в PHP"  
Сообщение от koder on 05-Окт-06, 22:29 
Т.к. DOS точно не подвержена то авторитетно заявляю что ето проблема к ПыхПых'у никакого отношения не имеет :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Возможность обхода ограничений Open_Basedir в PHP"  
Сообщение от FSA (??) on 06-Окт-06, 13:20 
И кто ж вам сказал, что open_basedir при работе в Windows не используется???
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Возможность обхода ограничений Open_Basedir в PHP"  
Сообщение от hellbot on 06-Окт-06, 21:33 
а кто сказал что в windows есть symlink ?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Возможность обхода ограничений Open_Basedir в PHP"  
Сообщение от Аноним on 06-Окт-06, 10:38 
Никто не использовал Resin под это дело? Он вроде РНР может интерпретировать, но как он в плане скорости?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Возможность обхода ограничений Open_Basedir в PHP"  
Сообщение от ping email(??) on 09-Окт-06, 12:54 
юзайте яву она ява.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Возможность обхода ограничений Open_Basedir в PHP"  
Сообщение от Анонимоус on 09-Окт-06, 23:02 
> Для разработки - да. 99% известных мне разработчиков сидят на XP. WAMP
Так уж и 99?

> юзайте яву она ява.
...тормозна, глюкава и тоже дырява :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Возможность обхода ограничений Open_Basedir в PHP"  
Сообщение от Amazonka email(??) on 10-Окт-06, 11:18 
Подскажите, как правильно прописать в php.ini?
disable_functions = symlink()
на такое ругается.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Возможность обхода ограничений Open_Basedir в PHP"  
Сообщение от ping email(??) on 10-Окт-06, 11:45 
>Подскажите, как правильно прописать в php.ini?
>disable_functions = symlink()
>на такое ругается.


скобки убери

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Возможность обхода ограничений Open_Basedir в PHP"  
Сообщение от Amazonka email(ok) on 10-Окт-06, 11:49 
>>Подскажите, как правильно прописать в php.ini?
>>disable_functions = symlink()
>>на такое ругается.
>
>
>скобки убери
убрала, та же фигня, ругается еще больше.
попробовала вариант:

disable_functions =
symlink = Off
Ошибок на это не выдает, но будет ли так правильно?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Возможность обхода ограничений Open_Basedir в PHP"  
Сообщение от ping email(??) on 10-Окт-06, 12:53 
>>>Подскажите, как правильно прописать в php.ini?
>>>disable_functions = symlink()
>>>на такое ругается.
>>
>>
>>скобки убери
>убрала, та же фигня, ругается еще больше.
>попробовала вариант:
>
>disable_functions =
>symlink = Off
>Ошибок на это не выдает, но будет ли так правильно?

не знаю.
запихай это в symlink.php и проверь.

<?php
$res=symlink ( "symlink.php", "link.php" );

if ($res)
{
echo "symlinks are enabled";
}
else
{
echo "symlinks are not enabled";
}
?>

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Возможность обхода ограничений Open_Basedir в PHP"  
Сообщение от Amazonka email(ok) on 11-Окт-06, 11:07 
>не знаю.
>запихай это в symlink.php и проверь.
>
><?php
>$res=symlink ( "symlink.php", "link.php" );
>
>if ($res)
>{
> echo "symlinks are enabled";
>}
>else
>{
> echo "symlinks are not enabled";
>}
>?>
Правильным оказался вариант:
disable_functions = symlink
Но как то интересно он заработал, после 3 перезагрузки понял конфиг, стал работать и перестал писать ошибки. PHP что уже как винда работает, 5 раз перезагрузись и все будет Ok? Странно как то.....


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Возможность обхода ограничений Open_Basedir в PHP"  
Сообщение от ping email(??) on 11-Окт-06, 11:20 
>>не знаю.
>>запихай это в symlink.php и проверь.
>>
>><?php
>>$res=symlink ( "symlink.php", "link.php" );
>>
>>if ($res)
>>{
>> echo "symlinks are enabled";
>>}
>>else
>>{
>> echo "symlinks are not enabled";
>>}
>>?>
>Правильным оказался вариант:
>disable_functions = symlink
>Но как то интересно он заработал, после 3 перезагрузки понял конфиг, стал
>работать и перестал писать ошибки. PHP что уже как винда работает,
>5 раз перезагрузись и все будет Ok? Странно как то.....


так я же говорил, что скобки убери :-)
в каком виде у тебя работает пхп в с веб-сервером? php-cgi или mod_php?
и каким образом "рестартила пхп" ?
у меня изменения в php.ini вступают в силу после рестарта апача(пхп скомпилен модулем), и достаточно одного раза рестартнуть.
ось: freebsd 6.2PR.
а таких проблем как у тебя не было.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "Возможность обхода ограничений Open_Basedir в PHP"  
Сообщение от Amazonka email(ok) on 11-Окт-06, 12:54 
>так я же говорил, что скобки убери :-)
>в каком виде у тебя работает пхп в с веб-сервером? php-cgi или
>mod_php?
У меня через mod_php работает.
>и каким образом "рестартила пхп" ?
>у меня изменения в php.ini вступают в силу после рестарта апача(пхп скомпилен
>модулем), и достаточно одного раза рестартнуть.
Аналогично и у меня. Рестартила апач, после 3 рестарта перестал писать ошибки в логах, и сайт заработал как положено. Раньше тоже достаточно было один раз рестартануть, почему и удивляюсь :).
>ось: freebsd 6.2PR.
>а таких проблем как у тебя не было.
slackware 10, у меня таких непоняток тоже раньше не возникало.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру