[ОТВЕТИТЬ]
Опции темы
04.05.2012 07:39  
OlegON
не знал, куда засунуть...
Цитата:
Overview
PHP-CGI-based setups contain a vulnerability when parsing query string parameters from php files.
Description
According to PHP's website, "PHP is a widely-used general-purpose scripting language that is especially suited for Web development and can be embedded into HTML." When PHP is used in a CGI-based setup (such as Apache's mod_cgid), the php-cgi receives a processed query string parameter as command line arguments which allows command-line switches, such as -s, -d or -c to be passed to the php-cgi binary, which can be exploited to disclose source code and obtain arbitrary code execution.
An example of the -s command, allowing an attacker to view the source code of index.php is below:

Additional information can be found in the vulnerability reporter's blog post.
Impact
A remote unauthenticated attacker could obtain sensitive information, cause a denial of service condition or may be able to execute arbitrary code with the privileges of the web server.

в кратком переводе это звучит так, что если кто-то еще использует PHP в режиме CGI (привет апачеводы), то через добавление параметров -s, -d, -c им можно устроить сладкую жизнь, начиная с просмотра исходного кода скриптов и заканчивая выполнением произвольного кода на сервере (в рамках апача).
 
09.05.2012 15:06  
FractalizeR
А причем тут апачеводы? :) CGI только один из способов запуска PHP под этим вебсервером. Есть и fastcgi, и mod_php, например.
 
09.05.2012 16:17  
OlegON
При том, что в нормальном веб-сервере, типа nginx, такой гадости нет.
 
09.05.2012 16:24  
FractalizeR
Я бы не стал называть апач ненормальным сервером. Все зависит от задач, для которых вам вообще нужен вебсервер.

Что касается "гадости", я бы сказал, что cgi - просто устаревшая технология. FastCGI, в принципе, на нее очень похож.
 
 
Опции темы



Часовой пояс GMT +3, время: 09:03.

Все в прочитанное - Календарь - RSS - - Карта - Вверх 👫 Яндекс.Метрика
Форум сделан на основе vBulletin®
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd. Перевод: zCarot и OlegON
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.