Уязвимость в PHP, позволяющая обойти ограничения, заданные в php.ini

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
07-Окт-2021 12:30

Опубликован метод обхода в интерпретаторе PHP ограничений, заданных при помощи директивы disable_functions и других настроек в php.ini. Напомним, что директива disable_functions даёт возможность запретить использование в скриптах определённых внутренних функций, например можно запретить "system, exec, passthru, popen, proc_open и shell_exec" для блокирования вызова внешних программ или fopen для запрета открытия файлов.
Примечательно, что в предложенном эксплоите используется уязвимость, о которой разработчикам PHP было сообщено более 10 лет назад, но они посчитали её несущественной проблемой, не влияющей на безопасность. Предложенный метод атаки основан на изменении значений параметров в памяти процесса и работает во всех актуальных выпусках PHP, начиная с PHP 7.0 (атака возможна и на PHP 5.x, но для этого требуется внесения изменений в эксплоит). Эксплоит протестирован в различных конфигурациях Debian, Ubuntu, CentOS и FreeBSD с PHP в форме cli, fpm и модуля для apache2.
===========
Источник:
OpenNet.RU
===========

Похожие новости: Теги для поиска: #_php
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 22-Ноя 00:06
Часовой пояс: UTC + 5