|
Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +/– | |
Сообщение от opennews (??) on 03-Май-12, 22:37 | ||
Компьютерная группа реагирования на чрезвычайные ситуации (CERT) опубликовала (http://www.kb.cert.org/vuls/id/520827) уведомление об утечке информации о критической уязвимости в PHP, которая позволяет запустить произвольный код на сервере или просмотреть исходный код любого PHP-скрипта, выполняемого в CGI-режиме. Cкрипты, выполняемые с использованием mod_php и FastCGI, не подвержены проблеме. | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения по теме | [Сортировка по времени | RSS] |
1. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | –4 +/– | |
Сообщение от Аноним (??) on 03-Май-12, 22:37 | ||
PHP??? | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
49. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +9 +/– | |
Сообщение от lf (??) on 04-Май-12, 11:33 | ||
кто-то юзает php в cgi режиме?????????????????? | ||
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору |
88. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | –2 +/– | |
Сообщение от Аноним (??) on 05-Май-12, 16:24 | ||
Некрофилы и извращенцы. Ну наконец то им прилетят серебряные пули :) | ||
Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору |
104. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +1 +/– | |
Сообщение от Georges (ok) on 08-Май-12, 10:36 | ||
Некоторые хостеры, которые орут что у них есть PHP 5.2 5.3 и 5.4 | ||
Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору |
2. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +8 +/– | |
Сообщение от Аноним (??) on 03-Май-12, 22:42 | ||
PHP: a fractal of bad design. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
3. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +/– | |
Сообщение от Аноним (??) on 03-Май-12, 22:45 | ||
> выполняемого в CGI-режиме. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
4. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +20 +/– | |
Сообщение от Аноним (??) on 03-Май-12, 22:53 | ||
Хм. А я думал, что это штатная фича. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
10. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +/– | |
Сообщение от Xasd (ok) on 04-Май-12, 00:15 | ||
тож думал что это фишка...:) | ||
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору |
5. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +2 +/– | |
Сообщение от Аноним (??) on 03-Май-12, 23:35 | ||
Ожидаемо. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
6. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +/– | |
Сообщение от codejumper on 03-Май-12, 23:47 | ||
жуть | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
7. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +/– | |
Сообщение от jedie on 03-Май-12, 23:55 | ||
У кого то еще CGI? | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
8. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +/– | |
Сообщение от Аноним (??) on 04-Май-12, 00:08 | ||
На самом деле судя по всему и PHP-скрипты под FastCGI тоже уязвимы, только эксплуатировать можно если попасть в первый запрос при запуске нового FastCGI-процесса. Но здесь всё очень сильно зависит от конфигурации и способа запуска PHP под FastCGI. | ||
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору |
9. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +/– | |
Сообщение от Аноним (??) on 04-Май-12, 00:13 | ||
> На самом деле судя по всему и PHP-скрипты под FastCGI тоже уязвимы, | ||
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору |
25. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +/– | |
Сообщение от Аноним (??) on 04-Май-12, 02:04 | ||
> Например, в дефолтовом примере к spawn-fcgi вызывается php5-cgi и теоретически должно сработать. | ||
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору |
36. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +/– | |
Сообщение от Аноним (??) on 04-Май-12, 09:16 | ||
Почитайте на досуге как работает CGI, командная строка там вообще не причём. FastCGI отличается от CGI только дополнительным циклом обработки запросов, чтобы каждый раз заново процесс не запускать, в остальном всё идентично. | ||
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору |
44. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +1 +/– | |
Сообщение от samm (ok) on 04-Май-12, 11:14 | ||
Вы не правы. Почитайте сами спецификации на CGI и FCGI, это разные протоколы. | ||
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору |
56. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +1 +/– | |
Сообщение от Аноним (??) on 04-Май-12, 12:14 | ||
И и там и там запускаемое приложение, в нашем случае интерпретатор php со скриптом, получает аргументы через стандартный ввод и переменные окружения. В логике работы разница только в цикле. То что отличаются методы доставки запроса (стандартный ввод/вывод vs UNIX или TCP сокет) большой роли в рассматриваемой ситуации не играет, на уровне приложения вся обработка параметров запроса идентична. | ||
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору |
94. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | –1 +/– | |
Сообщение от Аноним (??) on 05-Май-12, 16:51 | ||
> рассматриваемой ситуации не играет, на уровне приложения вся обработка параметров запроса | ||
Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору |
98. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +/– | |
Сообщение от Аноним (??) on 05-Май-12, 23:23 | ||
> Прикольно гнать пургу с умным видом? А если ман все-таки почитать, там таки написано что это совершенно разные протоколы. | ||
Ответить | Правка | ^ к родителю #94 | Наверх | Cообщить модератору |
89. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +/– | |
Сообщение от Аноним (??) on 05-Май-12, 16:26 | ||
> Почитайте на досуге как работает CGI, командная строка там вообще не причём. | ||
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору |
100. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +/– | |
Сообщение от Аноним (??) on 05-Май-12, 23:45 | ||
Это я ступил, думал что ошибка в PHP сводится к тому, что он параметры в STDIN парсит как параметры командной строки. Оказалось, действительно, СGI когда в запросе нет "=" передаёт параметры через командную строку: | ||
Ответить | Правка | ^ к родителю #89 | Наверх | Cообщить модератору |
52. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +1 +/– | |
Сообщение от Аноним (??) on 04-Май-12, 11:41 | ||
> протокол с форком обработчика на каждый реквест и передачей ему параметров через командлайн | ||
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору |
67. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +/– | |
Сообщение от terr0rist (ok) on 04-Май-12, 23:04 | ||
> дебильный древний и тормозной протокол | ||
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору |
90. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +1 +/– | |
Сообщение от Аноним (??) on 05-Май-12, 16:29 | ||
>> дебильный древний и тормозной протокол | ||
Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору |
101. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +/– | |
Сообщение от angra (ok) on 06-Май-12, 10:04 | ||
>> Тем более CGI позволяет делать кое-что, чего другие не могут в принципе. | ||
Ответить | Правка | ^ к родителю #90 | Наверх | Cообщить модератору |
102. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +/– | |
Сообщение от arisu (ok) on 06-Май-12, 15:47 | ||
> Может и от https отказаться? | ||
Ответить | Правка | ^ к родителю #101 | Наверх | Cообщить модератору |
106. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +/– | |
Сообщение от Аноним (??) on 10-Май-12, 08:35 | ||
>>> Тем более CGI позволяет делать кое-что, чего другие не могут в принципе. | ||
Ответить | Правка | ^ к родителю #101 | Наверх | Cообщить модератору |
46. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +/– | |
Сообщение от FSA (ok) on 04-Май-12, 11:19 | ||
hc.ru - хостинг-центр РБК | ||
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору |
11. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +4 +/– | |
Сообщение от XoRe (ok) on 04-Май-12, 00:17 | ||
Очень многие российские хостинги (включая самые крупные) запускают php именно в режиме cgi. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
20. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | –7 +/– | |
Сообщение от Аноним (??) on 04-Май-12, 01:19 | ||
> Очень многие российские хостинги (включая самые крупные) запускают php именно в режиме cgi. | ||
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору |
37. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +2 +/– | |
Сообщение от Аноним (??) on 04-Май-12, 09:20 | ||
Для PHP нет другого пути разделения привилегий, если использовать mod_php, то все скрипты будут работать под одним пользователем. Хаки вида openbasedir мало помогают, регулярно всплывают новые методы их обхода. FastCGI в условиях shared хостинга неприменим из-за больших накладных расходов (для каждого пользователя с активным сайтом в памяти нужно держать как минимум один процесс). | ||
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору |
50. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +/– | |
Сообщение от FSA (ok) on 04-Май-12, 11:35 | ||
У Valuehost с этим проблем нет. Когда-то давно на форуме webhostingtalk.ru видел обсуждение по поводу реализации работы от разных пользователей. Там принимал участие один из самых активных администраторов в то время Valuehost. Он описал принцип работы хостинга, хотя реальных примеров не приводил. В принципе у меня получилось на локальной машине, но не работали некоторые вещи (например, загрузка файлов на сервер). И не работали они и там скорее всего до патчей. Вот только содержимое патчей так и не появилось на форуме. Было только известно, что патчи не затрагивают операционную систему (у них FreeBSD). | ||
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору |
51. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +1 +/– | |
Сообщение от FSA (ok) on 04-Май-12, 11:38 | ||
Ох! Проситите! Столько запятых пропустил в тексте :( | ||
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору |
53. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +2 +/– | |
Сообщение от Аноним (??) on 04-Май-12, 11:45 | ||
Ой, только Valuehost не вспоминайте, там был грязный хак с постоянной работой всех дочерних процессов apache под root-ом и сменой пользователя при обработке каждого запроса. Такой метод не намного лучше cgi, только вместо запуска внешнего процесса форкается дочерняя копия httpd. | ||
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору |
64. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +1 +/– | |
Сообщение от Andrew Kolchoogin on 04-Май-12, 15:03 | ||
php-fpm поможет отцу русской демократии. Объявите столько пулов, сколько у вас пользователей, и запускайте каждый пул от своего аккаунта. | ||
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору |
71. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +/– | |
Сообщение от Аноним (??) on 05-Май-12, 03:11 | ||
>FastCGI в условиях shared хостинга | ||
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору |
84. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +/– | |
Сообщение от erera22 (ok) on 05-Май-12, 15:21 | ||
mod_ruid же | ||
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору |
68. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +3 +/– | |
Сообщение от terr0rist (ok) on 04-Май-12, 23:15 | ||
>> Очень многие российские хостинги (включая самые крупные) запускают php именно в режиме cgi. | ||
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору |
103. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +/– | |
Сообщение от Аноним (??) on 07-Май-12, 18:13 | ||
> Очень надеюсь, что процесс умирания РНР (в текущем виде) после этого бага ускорится. | ||
Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору |
22. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +/– | |
Сообщение от jedie on 04-Май-12, 01:33 | ||
Можно проблему эту решить через mod rewrite ну или другие rewriteры. | ||
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору |
70. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | –1 +/– | |
Сообщение от arisu (ok) on 05-Май-12, 00:36 | ||
или при помощи полного удаления php, это всяко надёжней. | ||
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору |
92. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +/– | |
Сообщение от Аноним (??) on 05-Май-12, 16:37 | ||
> или при помощи полного удаления php, это всяко надёжней. | ||
Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору |
97. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +/– | |
Сообщение от arisu (ok) on 05-Май-12, 21:14 | ||
качество кода php достаточно общеизвестно. использовать ЭТО можно или от нечего делать, когда на результат плевать, или за очень большие деньги (если заказчик не знает адреса, а то может и наведаться потом), или от очень большой глупости. | ||
Ответить | Правка | ^ к родителю #92 | Наверх | Cообщить модератору |
57. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +2 +/– | |
Сообщение от solardiz (ok) on 04-Май-12, 12:30 | ||
Это было бы так, но уязвимости подвержены далеко не все хостинги с PHP как CGI (может быть, подвержено меньшинство из них). Например, применяется вариант с патчем в suEXEC, где интерпретатору PHP через командную строку передается только имя скрипта (до этого проверенное stat()'ом и не только). Shell-wrapper при этом не нужен (и не используется). | ||
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору |
12. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +/– | |
Сообщение от Аноним (??) on 04-Май-12, 00:22 | ||
http://allvanyzatok.hu/phpinfo.php, обратите внимание на Server API: CGI. Не удалось получить исходник. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
23. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +2 +/– | |
Сообщение от Аноним (??) on 04-Май-12, 01:40 | ||
во враппере: | ||
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору |
35. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +/– | |
Сообщение от Etch on 04-Май-12, 08:40 | ||
Спасибо, работает воркэрраунд: | ||
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору |
95. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +/– | |
Сообщение от Аноним (??) on 05-Май-12, 17:23 | ||
> Просто нет смысла держать на ВПС постоянно в памяти mod_php ради одного | ||
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору |
29. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +/– | |
Сообщение от Diden05 (ok) on 04-Май-12, 03:47 | ||
Из скрипта никак не узнаешь как запущен PHP, как FCGI или просто CGI. Поэтому в phpinfo и будет написано cgi. | ||
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору |
13. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +/– | |
Сообщение от Xasd (ok) on 04-Май-12, 00:38 | ||
кроме ?-s чтонибудь "полезное" получилось выполнить? :) | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
14. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +/– | |
Сообщение от LostAlly on 04-Май-12, 00:44 | ||
%22%3B может закрываться так должно? А не наоборот? | ||
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору |
16. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +/– | |
Сообщение от Xasd (ok) on 04-Май-12, 00:53 | ||
> %22%3B может закрываться так должно? А не наоборот? | ||
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору |
17. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | –1 +/– | |
Сообщение от Xasd (ok) on 04-Май-12, 00:54 | ||
или всётаки я НЕ понял... ведь ?--syntax-highlight тоже работает | ||
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору |
18. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +/– | |
Сообщение от Xasd (ok) on 04-Май-12, 01:08 | ||
> кроме ?-s чтонибудь "полезное" получилось выполнить? :) | ||
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору |
21. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +/– | |
Сообщение от Xasd (ok) on 04-Май-12, 01:22 | ||
вот успешно получившийся пример: | ||
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору |
24. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +/– | |
Сообщение от Аноним (??) on 04-Май-12, 01:55 | ||
дык, allow_url_include и в добрый путь | ||
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору |
26. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +/– | |
Сообщение от Xasd (ok) on 04-Май-12, 02:13 | ||
> дык, allow_url_include и в добрый путь | ||
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору |
27. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +/– | |
Сообщение от Xasd (ok) on 04-Май-12, 02:17 | ||
а может быть можно както создать типа ERROR LOG какойнить?? и внутри этого файла, созать нужную последовательность <?php ... ?> , а затем её локально подключить через auto_prepend_file ??? | ||
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору |
28. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +/– | |
Сообщение от Xasd (ok) on 04-Май-12, 02:54 | ||
покачто не вижу пути подставить внутрь "error.log.php" хоть какуюто "полезную" инфинормарцию | ||
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору |
69. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +/– | |
Сообщение от akrylasov on 05-Май-12, 00:30 | ||
работает если вместо php:// забить http:// | ||
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору |
38. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +/– | |
Сообщение от Аноним (??) on 04-Май-12, 10:00 | ||
This setting requires allow_url_fopen to be on. | ||
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору |
47. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +/– | |
Сообщение от Xasd (ok) on 04-Май-12, 11:28 | ||
а ещё можно предположить, что сервера на которых я экспериментировал -- имеют iptables защищающий исходящие запросы... кто знает... %) %) | ||
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору |
15. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +/– | |
Сообщение от mikevmk (??) on 04-Май-12, 00:47 | ||
dork :) | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
19. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +2 +/– | |
Сообщение от Аноним (??) on 04-Май-12, 01:18 | ||
И, по традиции, пачт уязвимость не устраняет, а немного видоизменяет - параметры передать всеравно можно. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
30. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +/– | |
Сообщение от PavelR (ok) on 04-Май-12, 04:53 | ||
| ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
33. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +3 +/– | |
Сообщение от arisu (ok) on 04-Май-12, 07:36 | ||
php — глобально и надёжно! | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
39. "Критическая уязвимость в PHP. Корректирующие выпуски PHP 5.3..." | +1 +/– | |
Сообщение от CSRedRat (ok) on 04-Май-12, 10:15 | ||
nginx.org ещё раз подтверждает свои плюсы использования php без apache ;) | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
40. "Критическая уязвимость в PHP. Корректирующие выпуски PHP 5.3..." | –1 +/– | |
Сообщение от AlexAT (ok) on 04-Май-12, 10:33 | ||
nginx головного мозга? Нефиг некрофилить по CGI. | ||
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору |
42. "Критическая уязвимость в PHP. Корректирующие выпуски PHP 5.3..." | +1 +/– | |
Сообщение от Andrey Mitrofanov on 04-Май-12, 10:59 | ||
> nginx головного мозга? Нефиг некрофилить по CGI. | ||
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору |
41. "Критическая уязвимость в PHP. Корректирующие выпуски PHP 5.3..." | –2 +/– | |
Сообщение от Sas (ok) on 04-Май-12, 10:49 | ||
плюс у него есть в том что он все еще не может .htaccess( | ||
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору |
43. "Критическая уязвимость в PHP. Корректирующие выпуски PHP 5.3..." | +/– | |
Сообщение от Andrey Mitrofanov on 04-Май-12, 11:01 | ||
>он все еще не может .htaccess( | ||
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору |
45. "Критическая уязвимость в PHP. Корректирующие выпуски PHP 5.3..." | +/– | |
Сообщение от FSA (ok) on 04-Май-12, 11:18 | ||
Т.е. из-за такой мелочи вы тянете за собой монстра Apache? Да, понимаю, в nginx это реализуется только в конфигах. Но реализуется же! | ||
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору |
48. "Критическая уязвимость в PHP. Корректирующие выпуски PHP 5.3..." | +/– | |
Сообщение от Sas (ok) on 04-Май-12, 11:30 | ||
вы это скажите программистам битрикса. | ||
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору |
54. "Критическая уязвимость в PHP. Корректирующие выпуски PHP 5.3..." | +/– | |
Сообщение от EuPhobos (ok) on 04-Май-12, 11:53 | ||
Выкиньте битрикс, вместе с программистами ;) | ||
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору |
93. "Критическая уязвимость в PHP. Корректирующие выпуски PHP 5.3..." | +1 +/– | |
Сообщение от Аноним (??) on 05-Май-12, 16:42 | ||
> вы это скажите программистам битрикса. | ||
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору |
55. "Критическая уязвимость в PHP. Корректирующие выпуски PHP 5.3..." | +1 +/– | |
Сообщение от ALex_hha (ok) on 04-Май-12, 11:58 | ||
> Для PHP нет другого пути разделения привилегий, если использовать mod_php, то все скрипты будут работать под одним пользователем. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
59. "Критическая уязвимость в PHP. Корректирующие выпуски PHP 5.3..." | +/– | |
Сообщение от Аноним (??) on 04-Май-12, 12:46 | ||
OK. А как крутить несколько версий php на одном сервере? | ||
Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору |
60. "Критическая уязвимость в PHP. Корректирующие выпуски PHP 5.3..." | +/– | |
Сообщение от AlexAT (ok) on 04-Май-12, 13:01 | ||
> OK. А как крутить несколько версий php на одном сервере? | ||
Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору |
58. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +1 +/– | |
Сообщение от Аноним (??) on 04-Май-12, 12:44 | ||
Я чего-то не понимаю? Почему нельзя во врапере вместо | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
61. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +/– | |
Сообщение от anonymous (??) on 04-Май-12, 14:09 | ||
Тогда путь до скрипта не получит. | ||
Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору |
63. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +/– | |
Сообщение от anonymous (??) on 04-Май-12, 14:33 | ||
Хотя, впрочем, должен получить через SCRIPT_FILENAME. | ||
Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору |
62. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +/– | |
Сообщение от anonymous (??) on 04-Май-12, 14:14 | ||
Мне другой вопрос гораздо интереснее: разве всё, что после "?" идёт, не должно передоваться в переменной окружения QUERY_STRING? Надо понимать, php-cgi автоматом дописывает QUERY_STRING в конец списка аргументов вызова, поэтому "--" и решает проблему? | ||
Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору |
65. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +/– | |
Сообщение от Аноним (??) on 04-Май-12, 18:16 | ||
php-cgi путь до скрипта получает через переменную окружения. В "$*" всегда находится только QUERY_STRING (кто не верит может проверить). Уязвимость работает именно потому что php-cgi фактически запускается как | ||
Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору |
66. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +1 +/– | |
Сообщение от Test on 04-Май-12, 18:49 | ||
php, такой php (((( | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
74. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +/– | |
Сообщение от Аноним (??) on 05-Май-12, 12:26 | ||
в win32 на проверяемом сервере оказалось, что запуск производится вообще просто как | ||
Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору |
96. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме" | +/– | |
Сообщение от Аноним (??) on 05-Май-12, 17:49 | ||
Чуть ошибся я в проверке. Действительно, как и указано в спецификации CGI, если в строке запроса присутствует символ "=", то апач вызывает Path_to_php\php-cgi.exe и устанавливает переменную окружения QUERY_STRING. Если же символ "=" отсутствует, то апач вызывает | ||
Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору |
72. "Критическая уязвимость в PHP. Обновления PHP 5.3.12 и PHP 5...." | +1 +/– | |
Сообщение от Аноним (??) on 05-Май-12, 07:06 | ||
Дак просто используем следующий врапер, а не php-cgi сам | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
73. "Критическая уязвимость в PHP. Обновления PHP 5.3.12 и PHP 5...." | +/– | |
Сообщение от Аноним (??) on 05-Май-12, 12:20 | ||
Или для винды phpcgi.cmd | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
75. "Критическая уязвимость в PHP. Обновления PHP 5.3.12 и PHP 5...." | +/– | |
Сообщение от Юрий (??) on 05-Май-12, 14:08 | ||
В связке nginx+php-fpm все спокойно, ничего воспроизвести не удалось. Можно спать спокойно) | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
76. "Критическая уязвимость в PHP. Обновления PHP 5.3.12 и PHP 5...." | +/– | |
Сообщение от Алексей Добров on 05-Май-12, 14:32 | ||
"Cкрипты, выполняемые с использованием mod_php и FastCGI (например, | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
77. "Критическая уязвимость в PHP. Обновления PHP 5.3.12 и PHP 5...." | +/– | |
Сообщение от Аноним (??) on 05-Май-12, 14:38 | ||
> "Cкрипты, выполняемые с использованием mod_php и FastCGI (например, | ||
Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору |
78. "Критическая уязвимость в PHP. Обновления PHP 5.3.12 и PHP 5...." | +/– | |
Сообщение от Алексей Добров on 05-Май-12, 14:44 | ||
И как часто требуется одновременная работа разных версий PHP? ;) | ||
Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору |
79. "Критическая уязвимость в PHP. Обновления PHP 5.3.12 и PHP 5...." | +/– | |
Сообщение от Аноним (??) on 05-Май-12, 14:52 | ||
> И как часто требуется одновременная работа разных версий PHP? ;) | ||
Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору |
81. "Критическая уязвимость в PHP. Обновления PHP 5.3.12 и PHP 5...." | +/– | |
Сообщение от Алексей Добров on 05-Май-12, 15:03 | ||
>> И как часто требуется одновременная работа разных версий PHP? ;) | ||
Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору |
83. "Критическая уязвимость в PHP. Обновления PHP 5.3.12 и PHP 5...." | +/– | |
Сообщение от Аноним (??) on 05-Май-12, 15:15 | ||
>>> И как часто требуется одновременная работа разных версий PHP? ;) | ||
Ответить | Правка | ^ к родителю #81 | Наверх | Cообщить модератору |
85. "Критическая уязвимость в PHP. Обновления PHP 5.3.12 и PHP 5...." | +/– | |
Сообщение от Алексей Добров on 05-Май-12, 15:21 | ||
>>>> И как часто требуется одновременная работа разных версий PHP? ;) | ||
Ответить | Правка | ^ к родителю #83 | Наверх | Cообщить модератору |
86. "Критическая уязвимость в PHP. Обновления PHP 5.3.12 и PHP 5...." | +/– | |
Сообщение от Аноним (??) on 05-Май-12, 15:46 | ||
>>>>> И как часто требуется одновременная работа разных версий PHP? ;) | ||
Ответить | Правка | ^ к родителю #85 | Наверх | Cообщить модератору |
80. "Критическая уязвимость в PHP. Обновления PHP 5.3.12 и PHP 5...." | +/– | |
Сообщение от Юрий (??) on 05-Май-12, 14:58 | ||
Не часто, но бывает. | ||
Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору |
82. "Критическая уязвимость в PHP. Обновления PHP 5.3.12 и PHP 5...." | +/– | |
Сообщение от Алексей Добров on 05-Май-12, 15:14 | ||
> Не часто, но бывает. | ||
Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору |
87. "Критическая уязвимость в PHP. Обновления PHP 5.3.12 и PHP 5...." | +/– | |
Сообщение от AlexAT (ok) on 05-Май-12, 16:11 | ||
> например для одновременной работы разныхверсий пхп. | ||
Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору |
99. "Критическая уязвимость в PHP. Обновления PHP 5.3.12 и PHP 5...." | +/– | |
Сообщение от Аноним (??) on 05-Май-12, 23:30 | ||
> Вот интересно, кто, зачем и как часто использует PHP в CGI-режиме?.. | ||
Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору |
105. "Критическая уязвимость в PHP. Обновления PHP 5.3.12 и PHP 5...." | +/– | |
Сообщение от Аноним (??) on 09-Май-12, 12:33 | ||
if((query_string = getenv("QUERY_STRING")) != NULL && strchr(query_string, '=') == NULL) { | ||
Ответить | Правка | ^ к родителю #99 | Наверх | Cообщить модератору |
107. "Критическая уязвимость в PHP. Обновления PHP 5.3.12 и PHP 5...." | +/– | |
Сообщение от Аноним (??) on 23-Дек-13, 08:59 | ||
> | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |