Обнаружена PHP-угроза в серверном интерпретаторе
Обнаружена PHP-угроза в серверном интерпретатореКомпания Sucuri Security сообщает об обнаружении опасной уязвимости серверного интерпретатора PHP — широко известного языка веб-программирования. Имеется ввиду конфигурационная директива, существующая для обслуживания на серверах. Атакуя её, злоумышленник вполне может внедрить на сайт злонамеренный код.

ИТ-специалистам компании уже удалось не только теоретически обосновать наличие проблемы, но и в ходе экспериментального проекта осуществить атаку на практике.

В соответствии с данными руководства PHP имя обрабатываемого файла уточняется перед началом обработки кода директивой auto_append_file. При добавлении же директивы вида auto_append_file="OFF" в конфигурационный файл php.ini, можно без труда скомпрометировать целые серверы. Если положение Off интерпретируется как файл /tmp/Off, то хакер может просто создать его, внедрив в структуру некий злонамеренный код, который будет вызываться сервером.

По словам специалистов из Sucuri Security, теоретически можно предполагать наличие подобной уязвимости на десятках тысяч работающих в сети серверов. Многие из них уже были проверены компанией и дали отклик по этому сценарию. Стоит отметить, что до сих пор проблема изучалась только для выделенных серверов и VPS. Однако при желании и некоторых навыках данную уязвимость вполне можно применить, например, к серверам систем разделяемого хостинга.

Пока сколько-нибудь масштабных сетевых атак с использованием данной уязвимости зафиксировано не было. Однако, по словам специалистов, хакеры могут начать пользоваться ей уже в течение нескольких месяцев.

28 Декабря 2011

Возврат к списку



Новые темыОбъявленияСвободное общение
15:01 AYI Crm - полноценный облачный сервис для работы с Авито и Юла 
14:12 Прошу помощи в подключении смарт контракта Ethereum к сайту 
14:11 Яндекс выдача 24 апреля 2019 | Письма пришли? 
13:22 Вопрос по https// 
12:16 Вернется ли трафик на страницу? 
11:51 ClickDealer- свои люди на рынке буржа! 
11:08 Пожалуйста оцените сайт 
13:19 Требуется сбор СЯ на англ.языке 
13:01 Семантическое ядро с ручной группировкой и НК ключами 
12:26 Копирайтинг RU/EN, переводы высокого уровня (рус/англ/укр), SEO-оптимизированные тексты под ключ для выхода в Топ (2000+ отзывов) 
11:58 Автоматический сервис продвижения(накрутки). 18 соц сетей! Бонус местным! 
11:43 Продажа туристических сайтов 
11:20 Автонаполняемый новостной сайт форекс тематики - экономика в гугл новостях + AMP 
10:51 Статейное продвижение сайтов. Качественные доноры с высокими показателями ИКС и траста, не заспамленные. Хорошая индексируемость доноров. Качественные уникальные статьи (копирайт) 
14:55 Finaff становится открытой партнёркой! 
14:52 Бесплатно за отзыв можем сделать 1 услугу в соц сетях 
21:22 Скрины спама 
21:15 Способы увеличения продаж 
20:05 Accvk.ru - магазин самых надёжных аккаунтов вконтакте и других социальных сетей [без владельцев] 
13:19 Скидка ~40% для первых 10 
12:16 Необычная доменная зона. Помогите!