The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Новые уязвимости в PHP 5.2.4

14.09.2007 22:30

В списке рассылки Bugtraq сообщается об обнаружении новых уязвимостей в PHP 5.2.4:

  • Выход за пределы ограничений open_basedir, запуск кода и вызов отказа в обслуживании, через передачу некорректных параметров в функцию dl().
  • Возможность обхода ограничений safemode и open_basedir в функциях mysql_*.

    1. Главная ссылка к новости (http://www.opennet.ru/base/cgi...)
    2. PHP 5.2.4 open_basedir bypass & code exec & denial of service
    3. PHP 5.2.4 various mysql functions safemode & open_basedir bypass
    Лицензия: CC-BY
    Тип: К сведению
    Короткая ссылка: https://opennet.ru/12037-php
    Ключевые слова: php, security
    При перепечатке указание ссылки на opennet.ru обязательно


    Обсуждение (26) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, vital (??), 22:42, 14/09/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    нет предела совершенству...
     
  • 1.2, гость (?), 23:06, 14/09/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    боян однако... пыхпых настолько дыряв, что искать в нём дыры уже просто скучно - хоть студентам это выдавай в качестве зачётной работы...
     
  • 1.3, uderik (?), 03:23, 15/09/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    хорошие новости на выходные :(
     
  • 1.4, dypa (?), 08:42, 15/09/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ну перепишите без ошибок, ну или раз это вам так просто найдите парочку ошибок, времени заняло бы столько же, сколько вы потратили на написание коммента, а пользы больше.
     
     
  • 2.11, guest (??), 19:12, 15/09/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >  ну перепишите без ошибок...

    боюсь перл получится


    > или раз это вам так просто найдите парочку ошибок...

    а кто мне оплатит ковыряние в дерьме по локоть?

     

  • 1.5, Аноним (-), 09:10, 15/09/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Возможность обхода ограничений safemode и open_basedir в функциях mysql_*

    бред причём здесь ПХП, когда доступ осущетвляется через mysql

     
  • 1.6, Abu (?), 09:30, 15/09/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    =через передачу некорректных параметров в функцию dl()=

    Это значит, что нет проверки на корректность параметров?

     
  • 1.7, Бизон (?), 10:33, 15/09/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ШО? ОПЯТЬ?
     
  • 1.8, ans (??), 11:21, 15/09/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Да...
    когда этот проект закроют ?
     
  • 1.9, Alexandr Shepovalov (?), 13:42, 15/09/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    5.2.5 ? :))))))))))))))))
     
  • 1.10, Аноним (-), 16:16, 15/09/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Новые уязвимости в PHP 5.2.4

    звучит почти как "Новые возможности в PHP 5.2.4"

     
     
  • 2.12, exn (??), 19:26, 15/09/2007 [^] [^^] [^^^] [ответить]  
  • +/
    +1 :D

      Господа "программисты" - учите перл ;)

     
     
  • 3.13, Михаил (??), 20:30, 15/09/2007 [^] [^^] [^^^] [ответить]  
  • +/
    А почему именно перл? Есть достойные альтернативы. Питон. Руби (и соответствующие рельсы).
    Да-да. Только не начинайте полемики в сторону производительности - это обсасывалось и не раз.
    Все зависит от конкретных задач. Да и кстати, в 1.9 руби - производительность 50-70 точно увеличиться.

    Кстати, для любителей перла - руби самое оно. Там много чего от перла.

     
     
  • 4.14, Михаил (??), 20:31, 15/09/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Имееться ввиду "на 50-70%". Сорри, очепятка.
     

  • 1.15, greendog (??), 01:38, 16/09/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Скоро такие новости комментировать уже не будут. Если у пыха не за месяц не найдут новой дырки, то последний  программер сдохнет =)
     
  • 1.16, Аноним (-), 02:21, 16/09/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Пыхом еще кто то пользуется? :))))))))))))))))
     
     
  • 2.17, ad3000 (?), 05:05, 16/09/2007 [^] [^^] [^^^] [ответить]  
  • +/
    По популярности пыхи равных пока нет!
    http://www.google.com/trends?q=PHP%2C+Perl%2C+Python%2C+Ruby&c
     

  • 1.18, G0D (?), 17:05, 16/09/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    непонимаю людей которые пыхом пользовались, они видимо про существование перла незнали.
     
  • 1.19, scum (??), 18:55, 16/09/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Страшенные уязвимости:
    1. dl() - отключен у всех вменяемых админов, т.к. что надо включается в конфиге явно, а что не надо, то не надо.
    2. Ой! Обход safe_mode. Ужас какой. Он у вас еще включен? А вы гвозди контрабасом забиваете?
     
  • 1.20, ad3000 (?), 19:28, 16/09/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вы глумитесь здесь над пхп, а над Вами смеются все остальные... А перл не далеко от пхп ушел, но более удобен в использовании, такое ощущение что зависть какая-то, и эти уязвимости бред...
     
  • 1.21, ad3000 (?), 19:44, 16/09/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    опечатка, имелось в виду естественно что пхп удобнее, а не перл !!! :)
     
     
  • 2.23, X (?), 04:54, 17/09/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >опечатка, имелось в виду естественно что пхп удобнее, а не перл !!!
    >:)

    Опечатка то фрейду видимо? ;) Типа на подсознательном то уровне ты понимаешь, что перл лучше? :)

     
  • 2.24, kruk (?), 05:02, 17/09/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >опечатка, имелось в виду естественно что пхп удобнее, а не перл !!!
    >:)

    - Армяне лучше чем грузины!
    - Чем лучше?
    - Чем грузины!

     
     
  • 3.27, Мимо шел (?), 10:37, 18/09/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Соглашусь с ad3000. Смешные вы, ей-богу. Кому интересны ваши перлы, руби? Деньги делают люди, пишушие на пыхпыхе. Удачи просвещенным.
     
     
  • 4.28, X (?), 10:53, 18/09/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Интересны тем кому не только нужны деньги, но и время, чтобы потом эти деньги тратить.

    P. S.
    http://antigreen.org/vadim/ProgLanguageComparison/phpspotting.gif :)

     
  • 4.29, kruk (?), 12:25, 19/09/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >Соглашусь с ad3000. Смешные вы, ей-богу. Кому интересны ваши перлы, руби? Деньги
    >делают люди, пишушие на пыхпыхе. Удачи просвещенным.

    Я делаю деньги на Перле. Неплохие. Ещё вопросы?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2023 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру