The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"OpenNews: В PHP 5 найдена уязвимость, позволяющая обойти огр..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [ Отслеживать ]

"OpenNews: В PHP 5 найдена уязвимость, позволяющая обойти огр..."  
Сообщение от opennews (??) on 20-Июн-08, 17:32 
"PHP 5 'posix_access()' Function 'safe_mode' Bypass Directory Traversal Vulnerability (http://www.securityfocus.com/bid/29797)" - в PHP 5 найдена уязвимость, позволяющая обойти ограничение safe_mode через передачу некорректных параметров в функцию posix_access(). Наличие проблемы подтверждено в PHP 5.2.6.

URL: http://www.securityfocus.com/bid/29797
Новость: http://www.opennet.dev/opennews/art.shtml?num=16587

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "В PHP 5 найдена уязвимость, позволяющая обойти ограничение s..."  
Сообщение от Аноним (??) on 20-Июн-08, 17:32 
Фантастический язык
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "В PHP 5 найдена уязвимость, позволяющая обойти ограничение s..."  
Сообщение от PavelR (??) on 20-Июн-08, 18:11 
>Фантастический язык

Наконец-то. Я ждал сообщений об уязвимостях в пхп каждый день, и всё удивлялся - почему их нет.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "В PHP 5 найдена уязвимость, позволяющая обойти ограничение s..."  
Сообщение от Ъ on 20-Июн-08, 19:10 
да, действительно, давненько уже это затишье
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "В PHP 5 найдена уязвимость, позволяющая обойти ограничение s..."  
Сообщение от User294 (ok) on 22-Июн-08, 11:06 
>Наконец-то. Я ждал сообщений об уязвимостях в пхп каждый день, и всё
>удивлялся - почему их нет.

PHP используют.Много и часто.Поэтому любой ляп на виду.А вот кульный язык "хреновина" изобретенный "Васей Пупкиным" из деревни "Гадюкино" использует 10 человек на планете - друзья Васи.Поэтому никто не ищет в нем ляпы.В свете этого может возникнуть ощущение что "хреновина" безопаснее чем "PHP".Насколько это будет коррелировать с реальностью - вопрос номер два.Если бы язык "хреновина" использовало столько же народа как PHP - еще вопрос что бы нашли в нем.А так - судя по наблюдениям байки про неуловимого Джо придуманы не просто так :).Популярный проект - баги там находятся.А непопулярный и никому не нужный - так никто и баги не ищет.Ну и не находятся они соответственно. Чего так орать по этому поводу не понятно.Еще блин поорите по поводу того что дважды два - четыре.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "В PHP 5 найдена уязвимость, позволяющая обойти ограничение s..."  
Сообщение от аноним2 on 20-Июн-08, 22:57 
>Фантастический язык

не хотим не используем..

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "В PHP 5 найдена уязвимость, позволяющая обойти ограничение s..."  
Сообщение от Аноним (??) on 21-Июн-08, 10:14 
>>Фантастический язык
>
>не хотим не используем..

Ну я же сказал "Фантастический язык" - или ты сам понимаешь что это не может быть правдой?


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "В PHP 5 найдена уязвимость, позволяющая обойти ограничение s..."  
Сообщение от User294 (ok) on 22-Июн-08, 11:00 
>Фантастический язык

Сделайте лучше - флаг в руки.Кто-то не дает?Остается правда проблема - надо еще как-то будет убедить остальных что у вас оно лучше чем PHP и что там еще.А вот это нелегко.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "В PHP 5 найдена уязвимость, позволяющая обойти ограничение s..."  
Сообщение от Аноним (??) on 22-Июн-08, 18:12 
Так уже есть - бери не хочу. Более того я абсолютно уверен что и ПХП нужен.И прежде всего для случайных в программировании людей - которых естественно большенство.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "В PHP 5 найдена уязвимость, позволяющая обойти ограничение s..."  
Сообщение от vitek (??) on 22-Июн-08, 18:44 
>Так уже есть - бери не хочу. Более того я абсолютно уверен
>что и ПХП нужен.И прежде всего для случайных в программировании людей
>- которых естественно большенство.

прям как анономов на форумах.
и что есть, что брать не хотят?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "В PHP 5 найдена уязвимость, позволяющая обойти ограничение s..."  
Сообщение от Geol on 20-Июн-08, 23:40 
И вот интересно, хоть кто нибудь из коментаторов понял в чем проблема?
P.S. safe_mode - зло.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "В PHP 5 найдена уязвимость, позволяющая обойти ограничение s..."  
Сообщение от Аноним (??) on 21-Июн-08, 03:41 
Дык! А вот ты как раз не понял :) PHP - зло!
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "В PHP 5 найдена уязвимость, позволяющая обойти ограничение s..."  
Сообщение от vitek (??) on 21-Июн-08, 16:54 
>Дык! А вот ты как раз не понял :) PHP - зло!

а что добро?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "В PHP 5 найдена уязвимость, позволяющая обойти ограничение s..."  
Сообщение от User294 (ok) on 22-Июн-08, 11:08 
>а что добро?

Наверное какоенить руби или питон.А поскольку было метко замечено что добро должно быть с кулаками и что вообще нужно наносить пользу и причинять добро - синтаксис у этого "добра" в крайней степени похабный, еще похабнее чем си-подобный синтаксис PHP.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "В PHP 5 найдена уязвимость, позволяющая обойти ограничение s..."  
Сообщение от vitek (??) on 22-Июн-08, 14:56 
хорошо сказал :-)
пользу наносить надо так, что бы следы оставались

зы:
обычно, кто пишет, что php - это зло, сами в лучшем случае работают на каком-нибудь asp.net, а когда это начинает вести себя, мягко говоря, странно, то пытаются сделать что-то типа апач+моно.
у php много преимуществ:
скорость разработки,
объем и логичность кода,
система доступа к данным - по моему мнению, самая быстрая из возможных конкурентов и использует нативные механизмы (в данном вопросе и к моему сожалению perl, например, сильно отстает... хоть и сравнивать их нельзя категорически).

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "В PHP 5 найдена уязвимость, позволяющая обойти ограничение s..."  
Сообщение от terr0rist email(ok) on 23-Июн-08, 13:18 
>обычно, кто пишет, что php - это зло, сами в лучшем случае
>работают на каком-нибудь asp.net,

Работаю на РНР - это зло! =)

>у php много преимуществ:
>скорость разработки,

по сравнению с чем? Одни только знаки $, -> и прочая чушь отнимают кучу времени, а в плане запоминания 4000 функций с совершенно разными принципами названий и параметров - скорее на ассемблере напишешь... =)

>объем и логичность кода,

Логичность? Где? В С-исходниках? Уж где-где, а в РНР-коде никакой логичности нет. Почему например array_keys, но sort? а функции str* ??? И т.д.

>система доступа к данным - по моему мнению, самая быстрая из возможных
>конкурентов и использует нативные механизмы

Ну конечно, надо же хоть чем-то народ заинтересовывать. Домохозяйкам нужен нативный mysql, и точка.

>(в данном вопросе и к моему
>сожалению perl, например, сильно отстает... хоть и сравнивать их нельзя категорически).

Перл - некоммерческий проект.
РНР - чисто коммерческий. см. www.zend.com

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "В PHP 5 найдена уязвимость, позволяющая обойти ограничение s..."  
Сообщение от vitek (??) on 23-Июн-08, 13:37 
>Работаю на РНР - это зло! =)

так не работайте на "зле".
есть куча альтернатив, может они будут для Вас добрее.
>по сравнению с чем? Одни только знаки $, -> и прочая чушь отнимают кучу времени, а в плане запоминания 4000 функций с совершенно разными принципами названий и параметров - скорее на ассемблере напишешь... =)

у PHP замечательная документация. одна из лучших, что я видел.
если Вы думаете, что альтернативы проще (asp.net+ado.net+.., j2ee+ejb+..., ...) - дерзайте!
ну а про ассемблер - тоже вариант, не хуже чем остальные, говорю как бывший преподаватель оного.
>Ну конечно, надо же хоть чем-то народ заинтересовывать. Домохозяйкам нужен нативный mysql, и точка.

ну если Вы пишите на PHP, стоя за плитой,...
>Перл - некоммерческий проект.
>РНР - чисто коммерческий. см. www.zend.com

мне очень нравиться perl, но... если для Вас сложен PHP и Вы сравнивали его с asm, то perl - это программирование сразу в hex виде.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "В PHP 5 найдена уязвимость, позволяющая обойти ограничение s..."  
Сообщение от Aleksey (??) on 21-Июн-08, 09:32 
Ну просто капец уязвимость. Функция posix_access позволяет только посмотреть существует ли некоторый файл. Т.е. узявимость позволяет проверить, не существует ли некоторый файл, не учитывая safe_mode. Обычно такое называют багом с наименьшим приоритетом, так как трудно представить как его можно использовать для чего-нибудь полезного. Кроме того posix-группу функций в PHP коде используют очень нечасто.

P.S. Для других языков программирования такая ошибка бы потянула максимум на упоминание в changelog (типа в posix_access исправлена ошибка, позволяющая в некоторых случаях получить информацию о существовании файла за пределом разрешенного каталога - ужастно :) ).

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "В PHP 5 найдена уязвимость, позволяющая обойти ограничение s..."  
Сообщение от Щекн Итрч on 21-Июн-08, 10:04 
>Ну просто капец уязвимость. Функция posix_access позволяет только посмотреть существует ли некоторый
>файл. Т.е. узявимость позволяет проверить, не существует ли некоторый файл, не
>учитывая safe_mode. Обычно такое называют багом с наименьшим приоритетом, так как
>трудно представить как его можно использовать для чего-нибудь полезного. Кроме того
>posix-группу функций в PHP коде используют очень нечасто.
>
>P.S. Для других языков программирования такая ошибка бы потянула максимум на упоминание
>в changelog (типа в posix_access исправлена ошибка, позволяющая в некоторых случаях
>получить информацию о существовании файла за пределом разрешенного каталога - ужастно
>:) ).

Холиварщикам эти подробности скучны :)
Главна - высказаться в ключе мутного бормотания! :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "В PHP 5 найдена уязвимость, позволяющая обойти ограничение s..."  
Сообщение от User294 (ok) on 22-Июн-08, 11:11 
>Главна - высказаться в ключе мутного бормотания! :)

Нее, на самом деле главная задача любого тролля это обосрать неплохой проект не сделав при том ничего сравнимого =)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "В PHP 5 найдена уязвимость, позволяющая обойти ограничение s..."  
Сообщение от terr0rist email(ok) on 23-Июн-08, 13:22 
>>Главна - высказаться в ключе мутного бормотания! :)
>
>Нее, на самом деле главная задача любого тролля это обосрать неплохой проект
>не сделав при том ничего сравнимого =)

РНР в принципе обсирания вполне достоин. Хотя конечно совсем не за баг в посикс_аксесс.

Насчет сделать сравнимое - если бы каждый делал сравнимое, то у каждого и стоял бы собственный язык, собственная ось и собственный инет, и сидели бы, как финны по баням. А чтобы проекты улучшались, иногда их не мешает пообсирать.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

26. "В PHP 5 найдена уязвимость, позволяющая обойти ограничение s..."  
Сообщение от vitek (??) on 23-Июн-08, 13:41 
альтернативу приведите.

а в принципе обсирания - так что ни возьми, тоже самое.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "В PHP 5 найдена уязвимость, позволяющая обойти ограничение s..."  
Сообщение от Аноним (??) on 22-Июн-08, 10:06 
новость преувеличивают. уязвимость никакая. safe_mode используют единицы. если строить качественный хостинг, то для каждого пользователя должно существовать свое chroot окружение.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "В PHP 5 найдена уязвимость, позволяющая обойти ограничение s..."  
Сообщение от Аноним (??) on 23-Июн-08, 02:38 
>новость преувеличивают. уязвимость никакая. safe_mode используют единицы. если строить качественный хостинг, то
>для каждого пользователя должно существовать свое chroot окружение.

Вполне достаточно пускать пользовательские процессы с правами пользователя.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "OpenNews: В PHP 5 найдена уязвимость, позволяющая обойти огр..."  
Сообщение от Oles email on 23-Июн-08, 10:47 
Мне вот интересно вообще такой функционал как safe mode существует в perl/ruby/python которые тут многие превозносят потому что "это круто"? Ведь если нет функционала то нет и ошибок :) Или хотя бы open_basedir? Какие средства управления/ограничения runtime сущесвуют?

Вот натолкнулся на статью. http://www.goodwebhosting.info/article.py/15 Вывод? Зачем хостеру такое счастье с этим hyped питоном? Что есть для shared hosting чтоб и безопасно? php.ini смотрели когда нибудь? Или каждому приложению по своему апачу будем давать?

Ага, вот новость! http://www.opennet.dev/opennews/art.shtml?num=16601 Ужос то какой! Оказывается и на солнце бывают пятна :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

27. "OpenNews: В PHP 5 найдена уязвимость, позволяющая обойти огр..."  
Сообщение от AmdY email(ok) on 27-Июн-08, 11:43 
последнее время появилось большое количество квалифицироанных рнр-програмистов, 4-ка уходит в небытие, некоторые рнр-шники знакомятся с ruby, asp, java, python и при этом остаются на рнр.
тяжёлые времена настали для обсирателей рнр, даже мелкие ошибки редко появляются


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру