пятница, 3 февраля 2012 г.

Критическая уязвимость в PHP 5.3.9, позволяющая выполнить код на сервере

Критическая уязвимость в PHP 5.3.9, позволяющая выполнить код на сервере

В PHP обнаружена одна из самых серьёзных уязвимостей за время существования данного языка. Уязвимость проявляется только в PHP 5.3.9 и позволяет удалённому злоумышленнику выполнить свой код на сервере, независимо от того какие PHP-скрипты используются.

...
Всем пользователям PHP 5.3.9 рекомендуется в экстренном порядке наложить патч или вернуться на более ранний выпуск PHP. Официального уведомления и исправления пока не выпущено. Проблему усугубляет то, что поддержка директивы max_input_vars была портирована из PHP 5.3.9 многими дистрибутивами и включена в пакеты с более старыми версиями PHP. Например, в обновлении пакета php5-5.3.3-7+squeeze6 для debian Squeeze имеется поддержка директивы max_input_vars. Та же самая ситуация наблюдается в Red Hat Enterprise Linux 5 и 6, а также в Fedora Linux.

Уязвимость выявлена Стефаном Эссером (Stefan Esser), создателем проектов Hardened-PHP и Suhosin. Комментируя решение проекта Debian отказаться от использования Suhosin, Стефан указал на то, что уязвимость в PHP пришлась весьма кстати, так как она хорошо демонстрирует необходимость в использовании Suhosin, который значительно снижает возможность эксплуатации, даже в стандартной конфигурации.

====
"Комментируя решение проекта Debian отказаться от использования Suhosin,"
Правильно, зачем нам системы защиты для самого бажного языка в истории... Да, это не панацея. Но если этот патч закрывает хотя бы 5% проблем - он однозначно обязан включаться в штатные поставки.
И если они там не совсем идиоты, сухосин будет подключаться как доп модуль в случае убирания из штатного пакета. Документы дополнятся строчкой доустановки сухосина...

Как же надоел их маразм. Чуть не каждые пол года - серьёзные проколы, после чего хочется показать на их пользователей пальцем и сказать "ха-ха, создатели дебиана вам снова показали, что вы все - тупое стадо баранов, а они хозяева мира". Прочем, они свою позицию "вы все тупые, и мы лучше знаем, что вам делать" показывают давно. Хороший пример - jdk6 больше нельзя обновлять, так они новым обновлением просто сносят его.
Поэтому я до сих пор уважаю freebsd - они хотя бы не тыкают постоянно своих пользователей носом в говно.
А другие дистры для веб-сервера... Центось подходит плохо и требует напильника, остальные линукс-дистры ещё хуже, некоторые вроде мандривы вообще всё никак помереть не могут. Увы.
Впрочем, дебиан тоже использую, приходится. Но если каноникал, строясь на том же дебиане, сможет обеспечить в том числе платную поддержку + будет от таких вот маразмов вычищать и собирать нормальные пакеты - все сервера будут (принудительно) переводиться на убунту сервер.

Комментариев нет:

Отправить комментарий