• Привет !

    На форуме есть зеркало в ТОРе:rusfwz3cukdej7do.onion

    Обратная связь:info@ru-sfera.org

    Всего доброго !

В PHP устранена существовавшая с 2004 года уязвимость (1 Viewer)

Кто просматривает этот контент: "Тема" (Всего пользователей: 0; Гостей: 1)

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 388
Репутация
7 878
Telegram
Уязвимость позволяет раскрыть исходный код и скомпрометировать систему.

Исследователи безопасности обнаружили опасную уязвимость в CGI настройке PHP, которая позволяет удаленному пользователю скомпрометировать целевую систему и раскрыть исходный код реализации продукта. Уязвимость была обнаружена в ходе работы с Nullcon CTF, когда было обнаружено, что строка запроса ?-s приводила к выполнению аргумента -s и раскрытию исходного кода. Дальнейший анализ показал, что уязвимость существовала в PHP приблизительно с 2004 года.

О существовании уязвимости стало известно в январе этого года, после чего о ней были уведомлены разработчики PHP. В начале февраля об уязвимости узнала организация US-CERT, которая начала следить за ходом подготовки исправления.

3 мая были представлены релизы PHP версий 5.3.12 и 5.4.2, в которых уязвимость CVE-2012-1823 была устранена. Для системных администраторов, которые не желают устанавливать новую версию продукта производитель в качестве временного решения предлагает воспользоваться правилом mod_rewrite:

RewriteCond %{QUERY_STRING} ^(%2d|-)[^=]+$ [NC]
RewriteRule ^(.*) $1? [L]

Источник