Chyba umožňujúca vzdialené vykonávanie kódu v PHP7

Chyba CVE-2019-11043, ktorá bola prednedávnom opravená, umožňuje jednoduché vzdialené vykonanie kódu na serveri s PHP 7. Skript demonštrujúci túto chybu bol zverejnený na GitHube.

Zraniteľné sú server NGINX používajúce php-fpm (PHP FastCGI Process Manager) so špecifickou konfiguráciou. Konfigurácia musí používať direktívu fastcgi_split_path_info s regulárnym výrazom zachytávajúcim začiatok a koniec vstupu, ktorý sa dá oklamať znakom nového riadku. Tento vstup musí byť ďalej nastavený vo FastCGI parametri PATH_INFO. Poslednou podmienkou je chýbajúca kontrola existencie PHP skriptu, na ktorý sa požiadavka forwarduje.

Aj keď zverejnený exploit zneužíva optimalizáciu spracovania FastCGI premenných, ktorá je implementovaná iba v PHP 7, nie je vylúčené, že existuje technika, ktorá funguje aj v PHP 5.

Zdroj: https://www.zdnet.com/article/nasty-php7-remote-code-execution-bug-exploited-in-the-wild/

Předmět	Autor	Datum
PHP nepoužívam a ani bych nikdy nechcel, je to jazyk jak za trest, nekonzistentný (pol funkcií v tva… Mlocik97 27.10.2019 20:54	Mlocik97	27.10.2019 20:54
Táto chyba nesúvisí až tak s konkrétnym jazykom, ale so spracovaním FastCGI, a mohla by sa vyskytnúť… moose 27.10.2019 21:19	moose	27.10.2019 21:19
I tak mi PHP prijde ako humus, a to sa nezmení. Som odporca C#, Java, PHP a SQL. Osobne radšej prefe… Mlocik97 27.10.2019 21:48	Mlocik97	27.10.2019 21:48
Zato v JS je ta typová exaktnost vážně slast... GTS 28.10.2019 22:50	GTS	28.10.2019 22:50
O typovosti som nehovoril, a inak pocul si termín TypeScript? ... P. s. ani JS co sa týka typovosti… Mlocik97 29.10.2019 09:58	Mlocik97	29.10.2019 09:58
https://www.destroyallsoftware.com/talks/wat MaSo 29.10.2019 18:50	MaSo	29.10.2019 18:50
Viděl jsem to za ty léta už asi 10x a pořád se u toho tlemím :-D Wikan 29.10.2019 18:58	Wikan	29.10.2019 18:58
Jj...:-) Pokud by mel nekdo zajem o serious talk o JavaScriptu, tak urcite tohle. Na Venkata jsou n… MaSo 29.10.2019 19:06	MaSo	29.10.2019 19:06
jop o týchto prapodivnostiach hovorím, inak toto ma furt rozosmeje, videl som to už stovku krát, ale… poslední Mlocik97 29.10.2019 22:07	Mlocik97	29.10.2019 22:07

PHP nepoužívam a ani bych nikdy nechcel, je to jazyk jak za trest, nekonzistentný (pol funkcií v tvare some_function() druhá polovica v tvare someFunction(), pre arraye polovica funkcií má slovo array v názve, polovica nemá, atd), chaotický (snaď jediný jazyk, ktorý má ternary operator asociovaný zľava) a deravý(tento príspevok je len jeden z príkladov).

Táto chyba nesúvisí až tak s konkrétnym jazykom, ale so spracovaním FastCGI, a mohla by sa vyskytnúť aj v inej implementácii. Konkrétne jadrom tejto chyby je pointerová aritmetika v C.

PHP je nástroj ako každý iný a v poslednej dobe niekoľkých rokov je to použiteľný jazyk tiež ako kopec iných.

I tak mi PHP prijde ako humus, a to sa nezmení. Som odporca C#, Java, PHP a SQL. Osobne radšej preferujem jazyky ako JS, Golang, Raku (Perl 6), Rust, C, Erlang, či trocha aj Python (ale pracujem s hlavne prvými dvomi).

Zato v JS je ta typová exaktnost vážně slast...

O typovosti som nehovoril, a inak pocul si termín TypeScript?

... P. s. ani JS co sa týka typovosti zas taký problém nie je, pokial nerobíš prapodiviny ako že chceš od čísla odčítať objekt s retazcami.

https://www.destroyallsoftware.com/talks/wat

Viděl jsem to za ty léta už asi 10x a pořád se u toho tlemím

Jj...

Pokud by mel nekdo zajem o serious talk o JavaScriptu, tak urcite tohle. Na Venkata jsou na konfenecich vzdy plne saly, treba na tehle sedeli lidi i na schodech, pac na ne nezbylo misto. Vim to, pac jsem mel tu cest tam take byt pritomen...

jop o týchto prapodivnostiach hovorím, inak toto ma furt rozosmeje, videl som to už stovku krát, ale aj tak sa rozosmejem když to vidím.

Zpět na aktuality Přidat komentář k aktualitě Nahoru