Skocz do zawartości
Zaloguj się, aby obserwować  
Grz3chu

Poważna luka PHP w trybie CGI

Polecane posty

Jak było to przepraszam, ale sprawa świeża.

 

Dziura umożliwia praktycznie nieograniczony dostęp do shell'a i wykonanie dowolnego polecenia z uprawnieniami serwera webowego. Szczęściem w nieszczęściu jest fakt, że większość administratorów serwerów hostingowych używa trybu FastCGI który nie jest zagrożony.

 

http://centos.linux....p-w-trybie-cgi/

  • Upvote 1

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość patrys

Nie taka świeża, ale wyprzedzając userów z DirectAdmin, nie działało to też na serwerach z suphp.

Z popularnych instalacji hostingowych zahaczyło to tylko wersje Pleska 9.0 - 9.2.3.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Co masz na myśli mówiąc NIE CHCE? Nie chcesz instalować nowszej wersji samemu czy nawet poprawki która się niedługo pokarze? :) Póki co możesz dodać regułki rewrite. Na stronie Debiana odnośnie php i tej luki napisali:

 

The testing distribution (wheezy) will be fixed soon.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

A masz php jako CGI (nie fastcgi) ?

 

Tak

 

Co masz na myśli mówiąc NIE CHCE? Nie chcesz instalować nowszej wersji samemu czy nawet poprawki która się niedługo pokarze? smile.png Póki co możesz dodać regułki rewrite. Na stronie Debiana odnośnie php i tej luki napisali:

 

The testing distribution (wheezy) will be fixed soon.

 

Jakoś nie chce mi się aktualizować ciągle php - np. po aktualizacji do php 5.4 wywaliło mi apc (czy to dołączyli do php?) i suhosin tez nie działa, dodatkowo przeszedłem na wheezy (dość ryzykowny pomysł ale co tam) więc ostatnio dużo tych aktualizacji Te regułki to wklejam do php ini czy do pliku konfiguracyjnego np. apache2.conf? Sorry za lamerstwo wink.png

Edytowano przez Ganicjusz (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Tak możesz go dodać do głownego configu żeby było globalnie. Ogólnie można dawać wszędzie: server config, virtual host, directory, .htaccess :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

To może pochwal się czemu używasz cgi zamiast fastcgi, bo ja nie widzę sensownych plusów tego pierwszego. ;)

  • Upvote 1

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

To może pochwal się czemu używasz cgi zamiast fastcgi, bo ja nie widzę sensownych plusów tego pierwszego. wink.png

 

Bo jestem absolutnym noobem, który "administrowania" zaczął się uczyć jakieś 2 tyg temu z poradników? No może nie absolutnym bo coś przynajmniej o linuksie wiem a to pomaga.

 

FastCGI to mi się z konfiguracją php dla Nginx kojarzy ale jak to przy apache zrobic to nie mam pojęcia ale już coś tam znalazłem na howtoforge. Dzięki za uświadomienie wink.png

Edytowano przez Ganicjusz (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

To nie zaprzestawaj tylko ucz sie dalej - przesiadka na fastcgi uchroni Cie przed tym bugiem (zupelnie nie dziala w przypadku uzycia fcgi), a zarazem odczujesz spory wzrost wydajnosci.

 

W apache mozna zrobic to na wiele sposobow, np. za pomoca mod_fastcgi. Jak chcesz pomocy zwiazanej z tym, to napisz nowy temat w odpowiednim dziale. :)

Edytowano przez xorg (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się

Zaloguj się, aby obserwować  

×