Skocz do zawartości
Zaloguj się, aby obserwować  
Obserwujący 0
Grz3chu

Poważna luka PHP w trybie CGI

Przez Grz3chu, w Bezpieczeństwo

Polecane posty

Grz3chu    22

Grz3chu
Napisano

Jak było to przepraszam, ale sprawa świeża.

 

Dziura umożliwia praktycznie nieograniczony dostęp do shell'a i wykonanie dowolnego polecenia z uprawnieniami serwera webowego. Szczęściem w nieszczęściu jest fakt, że większość administratorów serwerów hostingowych używa trybu FastCGI który nie jest zagrożony.

 

http://centos.linux....p-w-trybie-cgi/

  • Upvote 1

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Gość patrys   

Gość patrys
Napisano

Nie taka świeża, ale wyprzedzając userów z DirectAdmin, nie działało to też na serwerach z suphp.

Z popularnych instalacji hostingowych zahaczyło to tylko wersje Pleska 9.0 - 9.2.3.

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Grz3chu    22

Grz3chu
Napisano

Co masz na myśli mówiąc NIE CHCE? Nie chcesz instalować nowszej wersji samemu czy nawet poprawki która się niedługo pokarze? :) Póki co możesz dodać regułki rewrite. Na stronie Debiana odnośnie php i tej luki napisali:

 

The testing distribution (wheezy) will be fixed soon.

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Ganicjusz    0

Ganicjusz
Napisano (edytowany)

A masz php jako CGI (nie fastcgi) ?

 

Tak

 

Co masz na myśli mówiąc NIE CHCE? Nie chcesz instalować nowszej wersji samemu czy nawet poprawki która się niedługo pokarze? smile.png Póki co możesz dodać regułki rewrite. Na stronie Debiana odnośnie php i tej luki napisali:

 

The testing distribution (wheezy) will be fixed soon.

 

Jakoś nie chce mi się aktualizować ciągle php - np. po aktualizacji do php 5.4 wywaliło mi apc (czy to dołączyli do php?) i suhosin tez nie działa, dodatkowo przeszedłem na wheezy (dość ryzykowny pomysł ale co tam) więc ostatnio dużo tych aktualizacji Te regułki to wklejam do php ini czy do pliku konfiguracyjnego np. apache2.conf? Sorry za lamerstwo wink.png

Edytowano przez Ganicjusz (zobacz historię edycji)

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Grz3chu    22

Grz3chu
Napisano

Tak możesz go dodać do głownego configu żeby było globalnie. Ogólnie można dawać wszędzie: server config, virtual host, directory, .htaccess :)

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

xorg    693

xorg
Napisano

To może pochwal się czemu używasz cgi zamiast fastcgi, bo ja nie widzę sensownych plusów tego pierwszego. ;)

  • Upvote 1

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Ganicjusz    0

Ganicjusz
Napisano (edytowany)

To może pochwal się czemu używasz cgi zamiast fastcgi, bo ja nie widzę sensownych plusów tego pierwszego. wink.png

 

Bo jestem absolutnym noobem, który "administrowania" zaczął się uczyć jakieś 2 tyg temu z poradników? No może nie absolutnym bo coś przynajmniej o linuksie wiem a to pomaga.

 

FastCGI to mi się z konfiguracją php dla Nginx kojarzy ale jak to przy apache zrobic to nie mam pojęcia ale już coś tam znalazłem na howtoforge. Dzięki za uświadomienie wink.png

Edytowano przez Ganicjusz (zobacz historię edycji)

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

xorg    693

xorg
Napisano (edytowany)

To nie zaprzestawaj tylko ucz sie dalej - przesiadka na fastcgi uchroni Cie przed tym bugiem (zupelnie nie dziala w przypadku uzycia fcgi), a zarazem odczujesz spory wzrost wydajnosci.

 

W apache mozna zrobic to na wiele sposobow, np. za pomoca mod_fastcgi. Jak chcesz pomocy zwiazanej z tym, to napisz nowy temat w odpowiednim dziale. :)

Edytowano przez xorg (zobacz historię edycji)

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się
Zaloguj się, aby obserwować  
Obserwujący 0
Przejdź do listy tematów Bezpieczeństwo
×