The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

31.01.2015 09:12  Уязвимость GHOST в Glibc может проявляться в web-приложениях на языке PHP

В некоторых PHP-приложениях выявлена потенциальная возможность эксплуатации критической уязвимости GHOST, позволяющей организовать выполнение кода при обработке специально оформленных данных в Glibc-функции gethostbyname. Язык PHP предоставляет функцию gethostbyname(), которая является обвязкой одноимённой функции libc, что делает уязвимыми использующие данный вызов web-приложения. В частности, наличие использования gethostbyname зафиксировано в коде системы управления контентом WordPress, в котором переданные пользователем значения напрямую используются в вызове gethostbyname при проверке URL функцией wp_http_validate_url(). При этом эксплуатация gethostbyname в WordPress затруднена в связи с тем, что имя хоста извлекается из URL с использованием функции parse_url(), разбирающей URL по отдельным полям.



  1. Главная ссылка к новости (http://arstechnica.com/securit...)
  2. OpenNews: Критическая уязвимость в Glibc, которая может привести к удалённому выполнению кода в Linux
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: ghost, php
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Ящ, 09:20, 31/01/2015 [ответить] [смотреть все]
  • –13 +/
    Потому что php.
     
     
  • 2.2, Аноним, 09:22, 31/01/2015 [^] [ответить] [смотреть все] [показать ветку]
  • –1 +/
    Потому что Microsoft свою Joomla продвигает, а то слишком многие соскочили с нее... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.9, 530, 13:45, 31/01/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    А вот с этого места поподробней пожайлуста...
     
  • 3.11, Аноним, 14:03, 31/01/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    > Потому что Microsoft свою Joomla продвигает

    Что, шарпойнт уже помер?!

     
     
  • 4.36, anonimouse, 20:21, 01/02/2015 [^] [ответить] [смотреть все]  
  • +/
    Я конечно извиняюсь - но а что, он когда то был жив ... весь текст скрыт [показать]
     
  • 2.3, Аноним, 09:37, 31/01/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +19 +/
    >  Потому что php.

    Да, php виноват в том что не перехватил контроль над системой и не заапдейтил либу нерадивому админу :). Но вы не сцыте - у ботнетов обычно конкуренция, так что первый прилетевший червяк либу вам запатчит, чтоб конкурентам не досталось! :)

     
     
  • 3.4, EuPhobos, 09:51, 31/01/2015 [^] [ответить] [смотреть все]  
  • +3 +/
    Хоть в чём-то плюс червей xD
     
  • 3.7, Мяут, 12:39, 31/01/2015 [^] [ответить] [смотреть все]  
  • +/
    Ну уязвимая функция gethostbyname объявлена устаревшей В Python, например, ge... весь текст скрыт [показать]
     
     
  • 4.10, Аноним, 14:02, 31/01/2015 [^] [ответить] [смотреть все]  
  • –2 +/
    Питонистов сразу видно По уровню общей компетенции и уровню аргументации Если ... весь текст скрыт [показать]
     
     
  • 5.14, Аноним, 22:24, 31/01/2015 [^] [ответить] [смотреть все]  
  • –2 +/
    А потом гугл с фесбуком допишут ИИ и профессионалы с кривой ухмылкой отправятс... весь текст скрыт [показать]
     
     
  • 6.19, Аноним, 07:41, 01/02/2015 [^] [ответить] [смотреть все]  
  • +/
    Адепты гвидобэйсика о себе слишком хорошего мнения Гомнокод на тормозильном язы... весь текст скрыт [показать]
     
     
  • 7.37, anonimouse, 20:25, 01/02/2015 [^] [ответить] [смотреть все]  
  • +/
    На нём написано столько не идеального - да, но полезного софта, заработано ст... весь текст скрыт [показать]
     
  • 5.17, б.б., 01:44, 01/02/2015 [^] [ответить] [смотреть все]  
  • –5 +/
    вы этот глубокомысленный вывод сделали из факта того, что в python используется ... весь текст скрыт [показать]
     
     
  • 6.18, Аноним, 07:39, 01/02/2015 [^] [ответить] [смотреть все]  
  • +/
    Нет, этот глубокомысленный вывод сделан глядя на питонистов Вот кстати еще один... весь текст скрыт [показать]
     
     
  • 7.21, бедный буратино, 08:03, 01/02/2015 [^] [ответить] [смотреть все]  
  • –4 +/
    дебилы щас в моде судя по опеннету кстати, ответ на вопрос весьма характерен... весь текст скрыт [показать]
     
     
  • 8.26, Аноним, 14:53, 01/02/2015 [^] [ответить] [смотреть все]  
  • +/
    Да просто не понимает человек, что для разных задач и инструменты разные нужны ... весь текст скрыт [показать]
     
     
  • 9.28, бедный буратино, 16:05, 01/02/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    Мне непонятна логика если в кране нет воды, значит это питонисты В любой бесе... весь текст скрыт [показать]
     
     
  • 10.30, AlexAT, 16:41, 01/02/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Спокойно, BASIC в любом проявлении давно стал нарицательным ... весь текст скрыт [показать]
     
     
  • 11.38, anonimouse, 20:46, 01/02/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Дык религия Не думай - верь А по факту на той технике это был вполне себе обос... весь текст скрыт [показать]
     
     
  • 12.39, AlexAT, 20:54, 01/02/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    Я тоже ассемблерщик, и примерно тех же лет xD Давай для честности еще добавим, ч... весь текст скрыт [показать]
     
     
  • 13.44, anonimouse, 21:13, 01/02/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Эх - жаль нельзя коньячку через форум тяпнуть Я сейчас в парк бегать трусцо... весь текст скрыт [показать]
     
     
  • 14.53, anonimouse, 04:34, 02/02/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Вот вернулся - и подумал глядя на вышесказанное Мои труды читать надо С ... весь текст скрыт [показать]
     
  • 2.6, cmp, 12:31, 31/01/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +4 +/
    а не в пхп это как-то иначе работает?
     
  • 1.8, AlexAT, 12:49, 31/01/2015 [ответить] [смотреть все]  
  • +11 +/
    Удивительно, что бага в GLIBC аффектит все приложения, использующие забаженную функцию. Спасибо, Капитан :)
     
  • 1.15, Аноним, 22:26, 31/01/2015 [ответить] [смотреть все]  
  • +/
    Glibc - это такой торт который должен понравится всем, поэтому в нем напичкано с... весь текст скрыт [показать]
     
     
  • 2.16, chinarulezzz, 00:41, 01/02/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    нормальный подход в ущерб имел в виду да, так бывает, что устаревшая функция м... весь текст скрыт [показать] [показать ветку]
     
  • 2.24, Адекват, 12:40, 01/02/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Это ладно, лично знаю одного оленя-директора, который до сих пор держит древний ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.35, Аноним, 19:11, 01/02/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    Олень не директор, олень - ты В нормальном мире не чинят то, что не сломалось и... весь текст скрыт [показать]
     
     
  • 4.40, anonimouse, 20:55, 01/02/2015 [^] [ответить] [смотреть все]  
  • +/
    Э - нет Олень не директор, и не он, олень - ТЫ оно сломалось Всё равно не ... весь текст скрыт [показать]
     
  • 1.20, Sylvia, 08:03, 01/02/2015 [ответить] [смотреть все]  
  • +/
    https://github.com/php/php-src/commit/882a375dbad4ecb1fddd9dd80f1a1350299629c1
    ?? ??? 2015, PHP 5.5.22

    +- Core:
    +  . Fixed bug #68925 (Mitigation for CVE-2015-0235 – GHOST: glibc gethostbyname
    +    buffer overflow). (Stas)

    хотя навряд ли те, кто не обновляют glibc, поставят свежую версию PHP ;)

     
     
  • 2.22, бедный буратино, 08:05, 01/02/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    ты по-русски скажи - нам, хомячкам, которые крутят piwik и owncloud на php 5 5 2... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.25, Sylvia, 14:28, 01/02/2015 [^] [ответить] [смотреть все]  
  • +/
    то что в новости - не грозит всегда есть что-то другое кстати забавно, что да... весь текст скрыт [показать]
     
     
  • 4.27, AlexAT, 15:34, 01/02/2015 [^] [ответить] [смотреть все]  
  • +/
    Ничего забавного Вообще держаться на один релиз позади - типично для многих про... весь текст скрыт [показать]
     
  • 4.29, бедный буратино, 16:11, 01/02/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    А, ну тогда только дебиан восьмой подвисает Но его не жалко Тем более, там у м... весь текст скрыт [показать]
     
     
  • 5.31, AlexAT, 16:42, 01/02/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Ужас какой И он еще спрашивает, почему питонистами детей пугают ... весь текст скрыт [показать]
     
     
  • 6.32, бедный буратино, 16:53, 01/02/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    Ну точно с Украины Я, кроме них, нигде и никогда такой логики не видел, со врем... весь текст скрыт [показать]
     
     
  • 7.41, anonimouse, 21:02, 01/02/2015 [^] [ответить] [смотреть все]  
  • +/
    Да действительно похоже Но с другой стороны, в смысле IT ребята там граммотн... весь текст скрыт [показать]
     
     
  • 8.45, Аноним, 23:31, 01/02/2015 [^] [ответить] [смотреть все]  
  • +/
    Да просто пока вы сидите зарывшись с головой в свои ассемблеры и прочее, гуманит... весь текст скрыт [показать]
     
     
  • 9.47, AlexAT, 23:37, 01/02/2015 [^] [ответить] [смотреть все]  
  • +/
    Если правильно применить изобретение физиков, счёт будет 99999999999999999 1 ... весь текст скрыт [показать]
     
     
  • 10.48, Аноним, 01:14, 02/02/2015 [^] [ответить] [смотреть все]  
  • +/
    Угу, только перед его применением необходима обработка народа через массмедиа Н... весь текст скрыт [показать]
     
  • 10.50, бедный буратино, 04:07, 02/02/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    Это АПОФЕОЗ Ничего, ничего ты не сможешь применить Люди - первичны, их мотивац... весь текст скрыт [показать]
     
     
  • 11.55, AlexAT, 08:24, 02/02/2015 [^] [ответить] [смотреть все]  
  • +/
    Первична только твоя клиническая тупость, дружок Даже комментировать этот высер... весь текст скрыт [показать]
     
     
  • 12.56, бедный буратино, 09:31, 02/02/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    это вы сейчас своё превосходство в уме перед бедным мною продемонстрировали ... весь текст скрыт [показать]
     
  • 5.43, anonimouse, 21:08, 01/02/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Если ты его не апдейтишь Если ты так поступаешь то и 7-ой тоже И ещё пачка ли... весь текст скрыт [показать]
     
     
  • 6.51, бедный буратино, 04:08, 02/02/2015 [^] [ответить] [смотреть все]  
  • +/
    а я знаю я не жалуюсь, я хвастаюсь ... весь текст скрыт [показать]
     
     
  • 7.52, anonimouse, 04:20, 02/02/2015 [^] [ответить] [смотреть все]  
  • +/
    Ах ви в _этом_ смисле! ... Ну Ок, защитано.  :)
     
  • 5.46, Sylvia, 23:32, 01/02/2015 [^] [ответить] [смотреть все]  
  • +/
    критика подхода уже есть ;)

    php-fpm ( fastcgi process manager ) - замена для spawn-fcgi, с возможностью управления параметрами пулов и chroot'ом, это как раз то, что следует использовать

    Если не запускается - или что-то в конфиге не то, или с правами на сокет (если используется сокет а не tcp) или баг, который следует отрепортить, если конечно проявляется в актуальных версиях.

     
     
  • 6.49, бедный буратино, 03:53, 02/02/2015 [^] [ответить] [смотреть все]  
  • +/
    там всё проще - в контейнере тупо systemd не работает, сли я правильно понял. и пакет при установке крашится, от слова "совсем". и после этого его нельзя ни удалить штатными средствами (даже dpkg со всеми возможными force - не помогает), ни сделать что-то ещё - приходится напрямую переписывать базу данных "вас здесь не стояло". всё работает, а эта фигня не работает - поэтому экспериментировать даже не хочется. хочется понять, почему spawn-fcgi постоянно падает.
     
  • 1.33, Аноним, 17:55, 01/02/2015 [ответить] [смотреть все]  
  • +/
    Так, а в других языках не используеться метод?
     
     
  • 2.42, anonimouse, 21:04, 01/02/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    > Так, а в других языках не используеться метод?

    По разному. Поэтому лучше таки glibc обновить, благо уже ждя всех выпустили.

     
  • 1.54, Аноним, 06:23, 02/02/2015 [ответить] [смотреть все]  
  • +/
    Что за бред то Приведён код, где берётся опция из настроек в админке Не проще ... весь текст скрыт [показать]
     
     
  • 2.57, AlexAT, 09:34, 02/02/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    На самом деле проще и надёжнее всего пропатчить/обновить glibc, но это же так скучно :)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor