The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимость GHOST в Glibc может проявляться в web-приложениях на языке PHP

31.01.2015 09:12

В некоторых PHP-приложениях выявлена потенциальная возможность эксплуатации критической уязвимости GHOST, позволяющей организовать выполнение кода при обработке специально оформленных данных в Glibc-функции gethostbyname. Язык PHP предоставляет функцию gethostbyname(), которая является обвязкой одноимённой функции libc, что делает уязвимыми использующие данный вызов web-приложения. В частности, наличие использования gethostbyname зафиксировано в коде системы управления контентом WordPress, в котором переданные пользователем значения напрямую используются в вызове gethostbyname при проверке URL функцией wp_http_validate_url(). При этом эксплуатация gethostbyname в WordPress затруднена в связи с тем, что имя хоста извлекается из URL с использованием функции parse_url(), разбирающей URL по отдельным полям.



  1. Главная ссылка к новости (http://arstechnica.com/securit...)
  2. OpenNews: Критическая уязвимость в Glibc, которая может привести к удалённому выполнению кода в Linux
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/41577-ghost
Ключевые слова: ghost, php
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (52) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Ящ (ok), 09:20, 31/01/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –13 +/
    Потому что php.
     
     
  • 2.2, Аноним (-), 09:22, 31/01/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Потому что Microsoft свою Joomla продвигает, а то слишком многие соскочили с нее.
     
     
  • 3.9, 530 (?), 13:45, 31/01/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А вот с этого места поподробней пожайлуста...
     
  • 3.11, Аноним (-), 14:03, 31/01/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Потому что Microsoft свою Joomla продвигает

    Что, шарпойнт уже помер?!

     
     
  • 4.36, anonimouse (?), 20:21, 01/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >Что, шарпойнт уже помер?!

    Я конечно извиняюсь - но а что, он когда то был жив?! :)

     
  • 2.3, Аноним (-), 09:37, 31/01/2015 [^] [^^] [^^^] [ответить]  
  • +19 +/
    >  Потому что php.

    Да, php виноват в том что не перехватил контроль над системой и не заапдейтил либу нерадивому админу :). Но вы не сцыте - у ботнетов обычно конкуренция, так что первый прилетевший червяк либу вам запатчит, чтоб конкурентам не досталось! :)

     
     
  • 3.4, EuPhobos (ok), 09:51, 31/01/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Хоть в чём-то плюс червей xD
     
  • 3.7, Мяут (ok), 12:39, 31/01/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Ну уязвимая функция gethostbyname() объявлена устаревшей. В Python, например, gethostbyname использует getnameinfo()
     
     
  • 4.10, Аноним (-), 14:02, 31/01/2015 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > В Python, например, gethostbyname использует getnameinfo()

    Питонистов сразу видно. По уровню общей компетенции и уровню аргументации. Если некто ведет себя как пользователи BASIC 20 лет назад - это по любому питонист, которого долбят комплексы о том что его программа почти как настоящая, но почему-то вызывает кривую ухмылку у профессионалов.

     
     
  • 5.14, Аноним (-), 22:24, 31/01/2015 [^] [^^] [^^^] [ответить]  
  • –2 +/
    А потом гугл с фесбуком допишут ИИ и "профессионалы с кривой ухмылкой" отправятся мести улицы, ибо машина будет программировать куда быстрее и точнее их. А питон и питонисты останутся, ибо искусство бессмертно и неавтоматизируемо.
     
     
  • 6.19, Аноним (-), 07:41, 01/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > А питон и питонисты останутся, ибо искусство бессмертно и неавтоматизируемо.

    Адепты гвидобэйсика о себе слишком хорошего мнения. Гомнокод на тормозильном языке для нубов - не больно какое искусство.

     
     
  • 7.37, anonimouse (?), 20:25, 01/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Адепты гвидобэйсика о себе слишком хорошего мнения. Гомнокод на тормозильном языке для
    > нубов - не больно какое искусство.

    На нём написано столько не идеального - да, но полезного!!! софта, заработано столько бабла не торговлей оппой а программированием, что ты даже продав весь свой ливер не покроешь и десятой доли процента.

    А теперь удар под дых - gethostbyname писали отнюдь не питонисты ... и ЧО?!?!? :))))))

     
  • 5.17, б.б. (?), 01:44, 01/02/2015 [^] [^^] [^^^] [ответить]  
  • –5 +/
    вы этот глубокомысленный вывод сделали из факта того, что в python используется getnameinfo?

    вы не с Украины часом?

     
     
  • 6.18, Аноним (-), 07:39, 01/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > вы этот глубокомысленный вывод сделали из факта того, что в python используется
    > getnameinfo?

    Нет, этот глубокомысленный вывод сделан глядя на питонистов. Вот кстати еще один характерный кадр вылез в виде буратины. Эталонный писарь на (гвидо-)BASIC :).

    > вы не с Украины часом?

    А как же агенты госдепа, свидомиты, буржуи, враги народа, пятые колонны, пи...сы и кто у нас там еще в моде? :)

     
     
  • 7.21, бедный буратино (ok), 08:03, 01/02/2015 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > А как же агенты госдепа, свидомиты, буржуи, враги народа, пятые колонны, пи...сы и кто у нас там еще в моде? :)

    дебилы щас в моде... судя по опеннету.

    кстати, ответ на вопрос весьма характерен :)

    > Нет, этот глубокомысленный вывод сделан глядя на питонистов. Вот кстати еще один характерный кадр вылез в виде буратины. Эталонный писарь на (гвидо-)BASIC :).

    - а о чём сейчас думаете?
    - о бабах
    - а сейчас?
    - о бабах!
    - но почему?
    - я всегда о них думаю!

    ... каким образом связаны питонисты и getnameinfo - науке до сих пор неизвестно.

     
     
  • 8.26, Аноним (-), 14:53, 01/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Да просто не понимает человек, что для разных задач и инструменты разные нужны ... текст свёрнут, показать
     
     
  • 9.28, бедный буратино (ok), 16:05, 01/02/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Мне непонятна логика если в кране нет воды, значит это питонисты В любой бесе... текст свёрнут, показать
     
     
  • 10.30, AlexAT (ok), 16:41, 01/02/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Спокойно, BASIC в любом проявлении давно стал нарицательным ... текст свёрнут, показать
     
     
  • 11.38, anonimouse (?), 20:46, 01/02/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Дык религия Не думай - верь А по факту на той технике это был вполне себе обос... текст свёрнут, показать
     
     
  • 12.39, AlexAT (ok), 20:54, 01/02/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я тоже ассемблерщик, и примерно тех же лет xD Давай для честности еще добавим, ч... текст свёрнут, показать
     
     
  • 13.44, anonimouse (?), 21:13, 01/02/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Эх - жаль нельзя коньячку через форум тяпнуть Я сейчас в парк бегать трусцо... текст свёрнут, показать
     
     
  • 14.53, anonimouse (?), 04:34, 02/02/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вот вернулся - и подумал глядя на вышесказанное Мои труды читать надо С ... текст свёрнут, показать
     
  • 2.6, cmp (ok), 12:31, 31/01/2015 [^] [^^] [^^^] [ответить]  
  • +4 +/
    а не в пхп это как-то иначе работает?
     

  • 1.8, AlexAT (ok), 12:49, 31/01/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    Удивительно, что бага в GLIBC аффектит все приложения, использующие забаженную функцию. Спасибо, Капитан :)
     
  • 1.15, Аноним (-), 22:26, 31/01/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Glibc - это такой торт который должен понравится всем, поэтому в нем напичкано столько всего разного что не удивлено что теперь это разное лезет со всех щелей. Держат устаревшие функции ради совместимости, в угоду безопасности это неадекватный подход. Glibc = эдакий торт где каждый кусочек с разным вкусом и начинкой, это чтобы понравится сращу всем.
     
     
  • 2.16, chinarulezzz (ok), 00:41, 01/02/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Держат устаревшие функции ради совместимости,

    нормальный подход.

    > в угоду безопасности

    в ущерб имел в виду? да, так бывает, что устаревшая функция может нести угрозу безопасности, но не правило.

    > это неадекватный подход.

    сам придумал - сам назвал неакдекватным.

     
  • 2.24, Адекват (ok), 12:40, 01/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Это ладно, лично знаю одного оленя-директора, который до сих пор держит древний линукс, потому что "elastix нормальный", и как следствие его поимели через heardbleed, стали слать спам.
    Я ему все разжевал, но его реакция была...да никакая как был устаревший лиукс, так и остался, главное что сервак спам не шлет, а то что у них уязвимый https - это насрать, типа "будем решать проблемы по мере их поступления".
     
     
  • 3.35, Аноним (-), 19:11, 01/02/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Это ладно, лично знаю одного оленя-директора, который до сих пор держит древний
    > линукс, потому что "elastix нормальный", и как следствие его поимели через
    > heardbleed, стали слать спам.
    > Я ему все разжевал, но его реакция была...да никакая как был устаревший
    > лиукс, так и остался, главное что сервак спам не шлет, а
    > то что у них уязвимый https - это насpaть, типа "будем
    > решать проблемы по мере их поступления".

    Олень не директор, олень - ты. В нормальном мире не чинят то, что не сломалось и не канпеляют ведро каждую неделю - ни при какой аргументации. Потому что ИТ для бизнеса, и обычно бизнес не софтверхаус. Чего ты и тебе подобные не поймут никогда.

     
     
  • 4.40, anonimouse (?), 20:55, 01/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Олень не директор, олень - ты.

    Э - нет! Олень не директор, и не он, олень - ТЫ! :)
    >В нормальном мире не чинят то, что не сломалось

    оно сломалось. Всё равно не чинить?
    >и не канпеляют ведро каждую неделю - ни при какой аргументации.

    Этого стараются избегать. Но если надо - делают и по дважды в день. Иначе - олени.
    >Потому что ИТ для бизнеса, и обычно бизнес не софтверхаус.

    Даже если бизнес - это-непонятное-слово-только-для-Ылитки - есть нормальный бизнес а есть лавка рога и копыта. В нормальном почерепят, прикинут риски ... и будут действовать танцуя от этого. В твоём будут качать вагон и делать вид что едем.(С)
    >Чего ты и тебе подобные не поймут никогда.

    Ну точно - Ылита из Верхнего Мухосранска :)

     

  • 1.20, Sylvia (ok), 08:03, 01/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    https://github.com/php/php-src/commit/882a375dbad4ecb1fddd9dd80f1a1350299629c1
    ?? ??? 2015, PHP 5.5.22

    +- Core:
    +  . Fixed bug #68925 (Mitigation for CVE-2015-0235 – GHOST: glibc gethostbyname
    +    buffer overflow). (Stas)

    хотя навряд ли те, кто не обновляют glibc, поставят свежую версию PHP ;)

     
     
  • 2.22, бедный буратино (ok), 08:05, 01/02/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > хотя навряд ли те, кто не обновляют glibc, поставят свежую версию PHP ;)

    ты по-русски скажи - нам, хомячкам, которые крутят piwik и owncloud на php 5.5.21 на OpenBSD - что-нибудь грозит? неохота переснапшочивать закатанное.

     
     
  • 3.25, Sylvia (ok), 14:28, 01/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    то что в новости - не грозит.
    всегда есть что-то другое )

    кстати забавно, что даже после релиза 5.6, 5.5 ветка у разработчиков PHP пока еще более приоритетна

     
     
  • 4.27, AlexAT (ok), 15:34, 01/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > кстати забавно, что даже после релиза 5.6, 5.5 ветка у разработчиков PHP
    > пока еще более приоритетна

    Ничего забавного. Вообще держаться на один релиз позади - типично для многих продакшн-применений. Не только с PHP, практически с любым софтом. Потому что пока успевают обкатать один - уже выходит новый, и начинается его обкатка.

     
  • 4.29, бедный буратино (ok), 16:11, 01/02/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >  то что в новости - не грозит.

    А, ну тогда только дебиан восьмой подвисает. Но его не жалко. Тем более, там у меня php-cgi через spawn-fcgi падает постоянно, а php-fpm (что это вообще?) просто не запускается. В OpenBSD я хоть использую провереную временем технологию php -t . -S 127.0.0.1:8080 (или как-то так). Это, кстати, единственное светлое пятно - то, что я столько лет просил у Деда Мороза каждый год, появилось в php 5.4, я аж с ёлки упал, как узнал.

     
     
  • 5.31, AlexAT (ok), 16:42, 01/02/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > более, там у меня php-cgi через spawn-fcgi падает постоянно, а php-fpm
    > (что это вообще?) просто не запускается. В OpenBSD я хоть использую
    > провереную временем технологию php -t . -S 127.0.0.1:8080 (или как-то так).

    Ужас какой. И он еще спрашивает, почему питонистами детей пугают.

     
     
  • 6.32, бедный буратино (ok), 16:53, 01/02/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Ужас какой. И он еще спрашивает, почему питонистами детей пугают.

    Ну точно с Украины. Я, кроме них, нигде и никогда такой логики не видел, со времён анекдота про "а я всегда о них думаю".

     
     
  • 7.41, anonimouse (?), 21:02, 01/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >> Ужас какой. И он еще спрашивает, почему питонистами детей пугают.
    > Ну точно с Украины. Я, кроме них, нигде и никогда такой логики не видел

    Да действительно похоже :)
    Но с другой стороны, в смысле IT ребята там граммотные были ... однако поди ж ты :)

     
     
  • 8.45, Аноним (-), 23:31, 01/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Да просто пока вы сидите зарывшись с головой в свои ассемблеры и прочее, гуманит... текст свёрнут, показать
     
     
  • 9.47, AlexAT (ok), 23:37, 01/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Если правильно применить изобретение физиков, счёт будет 99999999999999999 1 ... текст свёрнут, показать
     
     
  • 10.48, Аноним (-), 01:14, 02/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Угу, только перед его применением необходима обработка народа через массмедиа Н... текст свёрнут, показать
     
  • 10.50, бедный буратино (ok), 04:07, 02/02/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это АПОФЕОЗ Ничего, ничего ты не сможешь применить Люди - первичны, их мотивац... большой текст свёрнут, показать
     
     
  • 11.55, AlexAT (ok), 08:24, 02/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Первична только твоя клиническая тупость, дружок Даже комментировать этот высер... текст свёрнут, показать
     
     
  • 12.56, бедный буратино (ok), 09:31, 02/02/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    это вы сейчас своё превосходство в уме перед бедным мною продемонстрировали ... текст свёрнут, показать
     
  • 5.43, anonimouse (?), 21:08, 01/02/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>  то что в новости - не грозит.
    > А, ну тогда только дебиан восьмой подвисает.

    Если ты его не апдейтишь.
    Если ты так поступаешь то и 7-ой тоже. (И ещё пачка линуксов и убунт).
    В твоей OpenBSD ... как бы это сказать чтоб тебя не шокировать ... в общем ... там нету glibc 8-)  ... от слова совсем :)

     
     
  • 6.51, бедный буратино (ok), 04:08, 02/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > В твоей OpenBSD ... как бы это сказать чтоб тебя не шокировать ... в общем ... там нету glibc 8-)  ... от слова совсем :)

    а я знаю. я не жалуюсь, я хвастаюсь :)

     
     
  • 7.52, anonimouse (?), 04:20, 02/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Ах ви в _этом_ смисле! ... Ну Ок, защитано.  :)
     
  • 5.46, Sylvia (ok), 23:32, 01/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    критика подхода уже есть ;)

    php-fpm ( fastcgi process manager ) - замена для spawn-fcgi, с возможностью управления параметрами пулов и chroot'ом, это как раз то, что следует использовать

    Если не запускается - или что-то в конфиге не то, или с правами на сокет (если используется сокет а не tcp) или баг, который следует отрепортить, если конечно проявляется в актуальных версиях.

     
     
  • 6.49, бедный буратино (ok), 03:53, 02/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    там всё проще - в контейнере тупо systemd не работает, сли я правильно понял. и пакет при установке крашится, от слова "совсем". и после этого его нельзя ни удалить штатными средствами (даже dpkg со всеми возможными force - не помогает), ни сделать что-то ещё - приходится напрямую переписывать базу данных "вас здесь не стояло". всё работает, а эта фигня не работает - поэтому экспериментировать даже не хочется. хочется понять, почему spawn-fcgi постоянно падает.
     

  • 1.33, Аноним (-), 17:55, 01/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Так, а в других языках не используеться метод?
     
     
  • 2.42, anonimouse (?), 21:04, 01/02/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Так, а в других языках не используеться метод?

    По разному. Поэтому лучше таки glibc обновить, благо уже ждя всех выпустили.

     

  • 1.54, Аноним (-), 06:23, 02/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что за бред то? Приведён код, где берётся опция из настроек в админке. Не проще ли этом случае php скрипт заборсить на хост с одним gethostbyname и никаких тебе усложнений с parse_url.
     
     
  • 2.57, AlexAT (ok), 09:34, 02/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    На самом деле проще и надёжнее всего пропатчить/обновить glibc, но это же так скучно :)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру