Как стать автором
Поиск
Профиль
Обновить

Комментарии 22

Хм, как раз есть один такой сайтик работающий через CGI. Протестил, но этот запрос не производит на сайт никакого впечатления. У кого-то воспроизводится?
Комментарий пока не оценивали 0
да. открывал содержимое конфига вордпресса этим методом. смотрелось угрожающе, но на практике рандомным поиском по гуглу ни один из выбранных сайтов не был подвержен этой уязвимости
Всего голосов 3: ↑3 и ↓0 +3
Поиграйтесь с сайтами на хостинге РБК. Правда тамошние админы знают и думаю за сутки должны уже были залатать.
Всего голосов 3: ↑3 и ↓0 +3
Это, конечно, просто поэзия, человек писал с вдохновением. Абзац про баг в багтрекере выдавил скупую мужскую слезу…
Всего голосов 13: ↑13 и ↓0 +13
Ага, забавный баг (или бэкдор?), у нас как раз cgi на главной. К счастью, никаких паролей не видно. Помогает переключение на fastcgi.
Кстати, Фэйсбук показывает вакансию инженера по безопасности, если спросить у него -s.
Всего голосов 16: ↑16 и ↓0 +16
Всего голосов 12: ↑11 и ↓1 +10
Прикольный момент :)
Всего голосов 2: ↑2 и ↓0 +2
Большое количество сайтов запускают PHP или как модуль Apache через mod_php, или с помощью PHP-FPM под Nginx. Ни один из этих способов не уязвим к этом.


и тут же

Если вы используете Apache mod_cgi для запуска PHP, то вы можете быть уязвимы.


это что бы подлить масла в огонь?
Всего голосов 4: ↑2 и ↓2 0
mod_php vs mod_cgi
Всего голосов 6: ↑6 и ↓0 +6
mod_php != mod_cgi.
Всего голосов 2: ↑2 и ↓0 +2
Я буду обновлять страницу перед отправкой комментария.
Я буду обновлять страницу перед отправкой комментария…
Всего голосов 9: ↑7 и ↓2 +5
достаточно воспользоваться той классной зеленой штукой справа, правда.
Всего голосов 7: ↑5 и ↓2 +3
А PHP FastCGI под IIS этим багом страдает?
Комментарий пока не оценивали 0
FastCGI не подвержен — там ключей не бывает.
Комментарий пока не оценивали 0
Это удаленно выполнение команд, и это весело %)
Всего голосов 3: ↑2 и ↓1 +1
Поддерживаете стиль изложение статьи?
Всего голосов 4: ↑4 и ↓0 +4
На моем вордресном блоге на hc.ru появляется исходный код, вчера еще отписал им в суппорт.

Обратите внимание, что возможно использование и других команд, например или -d
Комментарий пока не оценивали 0
Причем -d — это ваще жесть — фактически remote exploit через auto_prepend_file.
Всего голосов 1: ↑1 и ↓0 +1
НЛО прилетело и опубликовало эту надпись здесь
А зачем использовать mod_cgi для пхп?
Всего голосов 1: ↑1 и ↓0 +1
НЛО прилетело и опубликовало эту надпись здесь
за fastCGI можно не переживать?
Комментарий пока не оценивали 0
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Ваш аккаунт

Разделы

Информация

Услуги

Техническая поддержка Вернуться на старую версию
© 2006–2023, Habr