Комментарии 22
Хм, как раз есть один такой сайтик работающий через CGI. Протестил, но этот запрос не производит на сайт никакого впечатления. У кого-то воспроизводится?
Это, конечно, просто поэзия, человек писал с вдохновением. Абзац про баг в багтрекере выдавил скупую мужскую слезу…
Ага, забавный баг (или бэкдор?), у нас как раз cgi на главной. К счастью, никаких паролей не видно. Помогает переключение на fastcgi.
Кстати, Фэйсбук показывает вакансию инженера по безопасности, если спросить у него -s.
Кстати, Фэйсбук показывает вакансию инженера по безопасности, если спросить у него -s.
Большое количество сайтов запускают PHP или как модуль Apache через mod_php, или с помощью PHP-FPM под Nginx. Ни один из этих способов не уязвим к этом.
и тут же
Если вы используете Apache mod_cgi для запуска PHP, то вы можете быть уязвимы.
это что бы подлить масла в огонь?
А PHP FastCGI под IIS этим багом страдает?
Это удаленно выполнение команд, и это весело %)
На моем вордресном блоге на hc.ru появляется исходный код, вчера еще отписал им в суппорт.
Обратите внимание, что возможно использование и других команд, например -с или -d
Обратите внимание, что возможно использование и других команд, например -с или -d
А зачем использовать mod_cgi для пхп?
за fastCGI можно не переживать?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Уязвимость PHP в режиме CGI