Реклама
.
Рекламки



Авторизация






Последние комментарии
#1
2023 пишет: » Запостите:

s3r [точка] ru/stavka-tolko-na-linuks-et... (18.03.2023)
// ОСТОРОЖНО: ВИНДОФИЛИЯ!
#2
бронедрочец пишет: » В костылинуксе порядок таков: нужен нормальный кал... (02.03.2023)
// Обзор калькуляторов в GNU/Linux
#3
Линупсодав пишет: » Костылинупс на десктопе не взлетит без прикладнухи... (13.02.2023)
// ОСТОРОЖНО: ВИНДОФИЛИЯ!
#4
admin пишет: » БоЗяН, ожидаемо. (30.01.2023)
// ReactOS 0.4.1
#5
БоЗяН пишет: » Хех. Чёт делать было нечего - дело было вечером)))... (29.01.2023)
// ReactOS 0.4.1
Цитаты
Продам Linux-сервер почти новый. Причина - покупка Winserver 2008 для устойчивой работы.



Критическая уязвимость в PHP, позволяющая выполнить код на сервере | автор: Luca | 3 февраля 2012

Категория: Open Source


В PHP обнаружена одна из самых серьёзных уязвимостей за время существования данного языка. Уязвимость проявляется только в PHP 5.3.9 и позволяет удалённому злоумышленнику выполнить свой код на сервере, независимо от того какие PHP-скрипты используются. При успешном совершении атаки код будет выполнен с правами PHP-приложения, к которому отправлен специально оформленный запрос.









По иронии судьбы, уязвимость связанна с некорректным устранением менее опасной проблемы безопасности в прошлой версии PHP. Для защиты от совершения DoS-атаки, которая может быть вызвана проблемой с предсказуемыми коллизиями в реализации алгоритма хэширования, в PHP 5.3.9 была добавлена директива max_input_vars, позволяющая ограничить число входящих параметров для поступающих HTTP-запросов. В реализации данной директивы была допущена досадная ошибка, которая сделала возможным совершение более опасной атаки.

Суть проблемы в том, что при портировании кода с поддержкой директивы max_input_vars был пропущен блок "else" с освобождением памяти и выходом из функции. Без этого блока, при превышении заданного директивой max_input_vars лимита, который по умолчанию установлен в 1000, если превышающая лимит переменная является массивом (например, "a[]=1"), то эта переменная оказывается на месте указателя, который в дальнейшем получает управление.

Всем пользователям PHP 5.3.9 рекомендуется в экстренном порядке наложить патч или вернуться на более ранний выпуск PHP. Официального уведомления и исправления пока не выпущено. Проблему усугубляет то, что поддержка директивы max_input_vars была портирована из PHP 5.3.9 многими дистрибутивами и включена в пакеты с более старыми версиями PHP. Например, в обновлении пакета php5-5.3.3-7+squeeze6 для debian Squeeze имеется поддержка директивы max_input_vars. Та же самая ситуация наблюдается в Red Hat Enterprise linux 5 и 6, а также в Fedora linux и Mandriva.

источник

Самое трагичное тут в том, что уязвимость появилась в патче к другой дыре с хэшами и теперь либо с одной дырой жить либо с другой. Этим ребятам бы прежде чем разработкой заниматься почитать про то как MS тестирует патчи и почему у нее не получается таких проблем.



      ВНИМАНИЕ !
Возможно что-то уже неактуально. Обращайте внимание на даты !
Эта статья опубликована 3 февраля 2012-го года !



Голосов: 7


Прочитано 5629 раз и оставлено 37 комментариев.





Комментарии посетителей

#1. Babusha

У недоинтерпретатора недоязыка проблемки.

#2. Babusha

А потом люди удивляются, почему php называют недоязыком. Кстати, если бы похапе пилился для дотнета, такой проблемы быть не могло не могло бы.

#3. Luca

Babusha написал:
Кстати, если бы похапе пилился для дотнета, такой проблемы быть не могло не могло бы.

Оно есть какое-то ... вроде даже рабочее http://www.php-compiler.net
Но не думаю, что оно пойдет языку на пользу.

Я на днях говорил с одним из админом hoster.ru. Он очень материл все эти открытые поделия - слишком много мороки и проблем. Т.е. целиком и полностью признает, что тот же .NET в удобстве как разработки так и обслуживания просто в разы лучше.

#4. pavel2403

pavel2403
Luca написал:
Я на днях говорил с одним из админом hoster.ru. Он очень материл все эти открытые поделия - слишком много мороки и проблем. Т.е. целиком и полностью признает, что тот же .NET в удобстве как разработки так и обслуживания просто в разы лучше.
Ты!!! Тебя подкупил лично Бадмер и еще всех твоих знакомых он запугал, ты понел??? Так троллейбус сказал!!!

#5. nixadmin

PHP 5.3.10 Released!
[02-Feb-2012]

The PHP development team would like to announce the immediate availability of PHP 5.3.10. This release delivers a critical security fix.

Security Fixes in PHP 5.3.10:

Fixed arbitrary remote code execution vulnerability reported by Stefan Esser, CVE-2012-0830.

All users are strongly encouraged to upgrade to PHP 5.3.10.

Важно не наличие или отсутсвие уязвимостей, а скорость их устранения.
nixadmin написал:
Важно не наличие или отсутсвие уязвимостей, а скорость их устранения.
,дыры не первый год и только сейчас пробуют устранить,шикарная скорость что и говорить.

#7. nixadmin

supermambet, да ну?

Цитата:
По иронии судьбы, уязвимость связанна с некорректным устранением менее опасной проблемы безопасности в прошлой версии PHP.


Как я понял из инфы в инете, 2 февраля её обнаружили и в тот же день её устранили. Хорошая скорость

#8. Babusha

Сейчас питухоиды начнут рассказывать сказки, как вот до сих пор в досе что-то там не закрылы biggrin

А как теперь все это обновить? Что мне делать? К примеру, у меня стоит Red Hat biggrin
Из исходников канпелять? sad
LongPHPCodez™ biggrin
Цитата:
Are you a programmer? No? Well are you a 14 year old kid with social problems who uses an operating system as a pacifier? Yes? Well then, you probably also want to write some software to prove your chops to the rest of the elite Linux development community, right? You do? That’s great!

All you have to do is get a LAMP (Linux, Apache, mySQL, PHP) stack installed and you’re already 90% of the way there. After you’ve spent a month or so getting that functional (pay no attention to the fact that it takes 30 seconds to get PHP installed and running under IIS on Windows), you can finally start writing some long PHP codez!

You’ll have the most badass visitor counter ever! The love and admiration of your community will go a long way to replacing the self-loathing you feel for never having a girlfriend.

#10. nixadmin

computer user написал:
К примеру, у меня стоит Red Hat biggrin


Наберите от рута
yum update

Источник написал:

Дополнение 2: Для стабильной ветки Debian вышло обновление php5-5.3.3-7+squeeze7, полностью устраняющее данную уязвимость. Обновление также выпущено для RHEL и CentOS.

#11. shell32

Цитата:
уязвимость связанна с некорректным устранением менее опасной проблемы безопасности в прошлой версии PHP
латание дыр, ведущее к появлению ещё больших дыр - этапять!
дохтур
Цитата:
Проблему усугубляет то, что поддержка директивы max_input_vars была портирована из PHP 5.3.9 многими дистрибутивами и включена в пакеты с более старыми версиями PHP.
Очередное доказательство компетенции божков-мейнтейнеров пакетов, ага biggrin

#13. nixadmin

дохтур написал:
Очередное доказательство компетенции божков-мейнтейнеров пакетов, ага biggrin


а что по вашему должны были делать мэйнтейнеры? проигнорировать исправление уязвимости?
Кстати, при обновлении (по крайней мере в федоре) старый конфиг не перезаписывает новый, так что эта опция включена только у тех кто её прописал в конфиг, а также у тех кто только что установил php-5.3.9 в систему.

#14. MOP3E

nixadmin написал:
Кстати, при обновлении (по крайней мере в федоре) старый конфиг не перезаписывает новый, так что эта опция включена только у тех кто её прописал в конфиг

Дык, весь смысл обновления именно в том, чтобы включить эту опцию в конфиге. В противном случае система останется уязвимой для DoS атак. :-)

#15. nixadmin

MOP3E, смысл обновления - в добавлении поддержки этой опции, включать или нет каждый решает самостоятельно.

#16. MOP3E

nixadmin написал:
MOP3E, смысл обновления - в добавлении поддержки этой опции, включать или нет каждый решает самостоятельно.

Луноход не читатель, луноход писатель!
Читай внимательно:
Цитата:
Для защиты от совершения DoS-атаки, которая может быть вызвана проблемой с предсказуемыми коллизиями в реализации алгоритма хэширования, в PHP 5.3.9 была добавлена директива max_input_vars, позволяющая ограничить число входящих параметров для поступающих HTTP-запросов.

То есть если не включить ограничение - система будет подвержена DoS-атакам.
Ещё читай:
Цитата:
при превышении заданного директивой max_input_vars лимита, который по умолчанию установлен в 1000

То есть, если не писать никакой переменной в конфиге, ограничение будет включено с лимитом по умолчанию, равным 1000.

#17. nixadmin

MOP3E, ну да, признаю свою ошибку. Дефолтное значение конечно же есть.
Только это никак не умаляет компетенции мейнтенеров. Вышел апдейт - они его включили в пакет, ничего плохого в этом не вижу.
nixadmin написал:
Как я понял из инфы в инете, 2 февраля её обнаружили и в тот же день её устранили. Хорошая скорость

из релиза написал:
Самое трагичное тут в том, что уязвимость появилась в патче к другой дыре с хэшами и теперь либо с одной дырой жить либо с другой.

ВЫВОД(для особо одаренных):открывает одно и закрывает другое- улётная заплатка.

#19. nixadmin

supermambet написал:
ВЫВОД(для особо одаренных):открывает одно и закрывает другое- улётная заплатка.


Все делают ошибки. В том числе и производители проприетарного софта. Важно как быстро они реагируют на обнаруженные уязвимости.
nixadmin написал:
Все делают ошибки. В том числе и производители проприетарного софта. Важно как быстро они реагируют на обнаруженные уязвимости.
,если закрыть одно и открыть другое,то где тогда смысл в этом закрытии?
из релиза написал:
MS тестирует патчи и почему у нее не получается таких проблем.
,у MS получается а Ёпенсорца нет,выводы (для особо одаренных) сделаешь сам.

#21. NEMO

Пожалуй, поддержу nixadmin в данной теме - разработчики ошиблись, но ошибку не проигнорировали. Ковыряние таких тем в итоге плавно переходит в придирки вида "-У вас тут пятно. -Да? А у вас тут вот тоже!" и имело бы смысл, только при наличии разработчиков, вообще не допускающих ошибок. Тогда было бы с чем сравнивать и за что гнобить, а так продолжать эту тему неконструктивно. К новости нужно относиться как к полезной информации, а не аргументу для троллинга.

#22. Luca

NEMO, просто имеет смысл посмотреть как MS подходит к разработке и тестированию исправлений. У нее такие проколы за всю историю были единичными. Тут же это в порядке вещей.
NEMO написал:
Ковыряние таких тем в итоге плавно переходит в придирки вида "-У вас тут пятно. -Да? А у вас тут вот тоже!" и имело бы смысл, только при наличии разработчиков, вообще не допускающих ошибок.
,не допускающих и тестирующих даже на то что мало вероятно.Если бы такое было в Win сейчас бы толпа Lin (а Lin по сути мало а криков больше) с пеной у рта кричала бы что "ёпенсорц рулит и т.д." и потом пришел бы главный троль у которого 4-е автомата на Луне газировку продают(но он автоматы считает ОС) и началось бы злорадство.Так что терпи когда люди пишут про дырявое поделие.

#24. null666

Luca написал:
У нее такие проколы за всю историю были единичными.

Конечно, конечно.
http://social.technet.microsoft.com/Forums/en/officeitpro/thread/74db78b3-65bd-4b59-a275-1168b59c7842
http://news.techeye.net/security/microsoft-patch-tuesday-leaves-internet-explorer-vulnerable
Убедиться, что у так любимой Luca MS производство кривых патчей далеко не единичные случаи, как он тут всем втирает, можно очень легко - достаточно набрать в гугле что-то вроде "microsoft patch not fix".
дохтур
nixadmin написал:
а что по вашему должны были делать мэйнтейнеры? проигнорировать исправление уязвимости?
конечно нет, просто очередное бездумное применение патчей без их анализа (компетентными людьми) в который раз подтвердило их "квалификацию" т.е. несостоятельность идеи репозиториев как панацеи от всех бед

#26. Desmond

Luca написал:
У нее такие проколы за всю историю были единичными. Тут же это в порядке вещей.

Microsoft не позволит распространиться такой информации - это будет дорого стоить. Подобную честность может позволить себе только opensource. Так что, беда не в PHP, а в том, что Microsoft не публикует компрометирующую себя информацию. Всё, на что она способно - это вежливо выпустить Windows 7 в качестве внегласного извинения за Windows Vista.

#27. nixadmin

дохтур написал:
конечно нет, просто очередное бездумное применение патчей без их анализа


Мейнтернеры не программеры, анализом патчей не занимаются. Думаю пакет некоторое время был в тестовой ветке и проблем с ним не обнаружилось. Когда была была обнаружена уявзимость, программеры оперативно выпустили обновление, а мейнтейнеры оперативно собрали пакеты. Каждый сделал свою работу и сделал хорошо.

Desmond написал:
Microsoft не позволит распространиться такой информации - это будет дорого стоить.

Тем не менее, в паблике периодиодически появляется информация о незакрытых уязвимостяъ в продуктах МС.

#28. Desmond

nixadmin написал:
Тем не менее, в паблике периодиодически появляется информация о незакрытых уязвимостяъ в продуктах МС.

Тем не менее, никто не знает настоящей версии, почему BMW перестала делать авиадвигатели... крупная компания не может себе позволить быть честной во всём, это бизнес - прежде всего. Ничего более. Только opensource может позволить себе некоторые вольности, хоть порой и с неохотой это делает.
Desmond написал:
Тем не менее, никто не знает настоящей версии, почему BMW перестала делать авиадвигатели... крупная компания не может себе позволить быть честной во всём, это бизнес - прежде всего. Ничего более. Только opensource может позволить себе некоторые вольности, хоть порой и с неохотой это делает.

Тем не менее эти же крупняки и финансируют Линукс.biggrin tongue
Откуда Линукс происходит?
75% кода ведра написана прям под заказ крупняков.tongue biggrin
gaux написал:
для меня все эти ОС п№ндосские. что линукс, что виндовз, что бзд. нет между ними разницы. и первые, и вторые, и третьи могут катитаться обратно в свою пендоссию.

РОС нужна, а из инициативы на базе линукса ничего не выйдет. точнее уже не выходит.

лучше бы детям помогали, а не х..й маялись

#30. Desmond

computer user написал:
Тем не менее эти же крупняки и финансируют Линукс.biggrin tongue
Откуда Линукс происходит?
75% кода ведра написана прям под заказ крупняков.tongue biggrin

Спасибо, заслуживающей доверие ссылкой поделился. А я и не знал, что linux такой плохой....
Desmond написал:
Спасибо, заслуживающей доверие ссылкой поделился. А я и не знал, что linux такой плохой....

75% of Linux code now written by paid developers
http://www.linuxtoday.com/developer/2010012002635NWKN
Linux Today написал:
Forget lofty ideals about the open-source community: most Linux kernel code is written by paid developers at major corporations.

Linux Today написал:
The Linux world makes much of its community roots, but when it comes to developing the kernel of the operating system, it's less a case of "volunteers ahoy!" and more a case of "where's my pay?"

#32. Desmond

computer user написал:

75% of Linux code now written by paid developers
http://www.linuxtoday.com/developer/2010012002635NWKN

У тебя баттх№рт по этому поводу, я не пойму? Или ты нищий разработчик Linux?
Desmond написал:
У тебя баттх№рт по этому поводу, я не пойму? Или ты нищий разработчик Linux?

Пока не забанят, ты ничиго и не понять.biggrin

#34. Desmond

computer user написал:
Пока не забанят, ты ничиго и не понять.

Это на каком языке?
Desmond написал:
Это на каком языке?
Забанят тибе - увидиш. tongue biggrin

#36. Desmond

computer user написал:
Забанят тибе - увидиш.

А тебя вот не забанят?

#37. Desmond