Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Уязвимость php-fpm, позволяющая удалённо выполнить код на се..., opennews (??), 24-Окт-19, (0) [смотреть все] https salsa debian org nginx-team nginx blob buster debian conf snippets fastc, Darth Revan (ok), 20:46 , 24-Окт-19, (8) +6 Кто-то ещё php использует , Аноним (1), 20:10 , 24-Окт-19, (1) –32 // да, анонимус (??), 20:14 , 24-Окт-19, (2) +7 Более 80 сайтовhttps haydenjames io 80-percent-web-powered-by-php , Аноним (3), 20:14 , 24-Окт-19, (3) +12 // в 2000 году , Аноним (7), 20:46 , 24-Окт-19, (7) –5 Большинство ошибается , Аноним (1), 20:46 , 24-Окт-19, (9) –5 // нет, Аноним (15), 20:56 , 24-Окт-19, (15) +1 большинство из них - сайты визитки одностраничники, anonn (?), 22:35 , 24-Окт-19, (36) –2 // Эти что ли Facebook Yahoo Wikipedia WordPress Tumblr MailCh, OpenEcho (?), 02:32 , 25-Окт-19, (46) +7 Я так понимаю, это исчерпывающий список большинства сайтов в интернете , Аноним (49), 04:32 , 25-Окт-19, (49) +1 Я привел конкретные доказательства, который каждый может перепроверить И в чем, OpenEcho (?), 11:01 , 25-Окт-19, (65) Открываем hh и смотрим вакансии похапе на бекэнде и пару вкраплений смузихлебов, Ананнимас (?), 12:41 , 25-Окт-19, (74) +1 1 488 вакансий 171 php 187 https hh ru search vacancy area 1 st searchVa, Аноним (49), 13:01 , 25-Окт-19, (76) –3 Сам-то вакансии смотрел Там к вебу мало что имеет отношение , Ананнимас (?), 15:11 , 25-Окт-19, (78) +1 уж гугл то точно не на пхпТо что ты описал это единственные крупные ребята кто п, anonn (?), 10:42 , 25-Окт-19, (63) –2 Так в этом то и есть ответ на оригинальный вопрос Кто-то ещё php использует , OpenEcho (?), 11:15 , 25-Окт-19, (66) +1 На одностраничниках как правило нет PHP, Аноним (55), 09:25 , 25-Окт-19, (55) +1 К сожалению большинству строителям интернета даже одностранички влом писать вр, OpenEcho (?), 11:21 , 25-Окт-19, (67) +2 потому как есть куча плагинов, магазинов, галерей и наконец скинов юзерам хочем, Ананнимас (?), 12:48 , 25-Окт-19, (75) Читай внимательно, там дата естьDecember 15, 2017 by Hayden James, in Blog Linux, Тортик с кремом (?), 09:25 , 25-Окт-19, (54) Просвяти плыз заблудших, что рекомендовать юзерам в замену пыха , OpenEcho (?), 21:03 , 24-Окт-19, (17) +3 // Пихон , 123 (??), 21:22 , 24-Окт-19, (23) –12 // Скорость не пробовали сравнивать , OpenEcho (?), 21:26 , 24-Окт-19, (26) +1 Глупость какая-то в 2к19-ом На первом месте - стильность, модность, молодежност, zzz (??), 22:02 , 24-Окт-19, (34) +7 К великому сожалению Вы - правы, OpenEcho (?), 02:06 , 25-Окт-19, (43) +1 Вы предлагаете вместо одного из самых быстрых скриптовых языков использовать оди, VEG (ok), 10:40 , 25-Окт-19, (62) +2 Ноду конечно же, Аноним (27), 21:39 , 24-Окт-19, (27) –10 // Джаваскрипт ещё большее гавно, чем пхп, Евгений (??), 21:46 , 24-Окт-19, (31) +11 Ну не пиши на говне, возьми другой яп, Аноним (27), 03:16 , 25-Окт-19, (48) С чего это JavaScript гавно , foi (?), 03:41 , 26-Окт-19, (84) –1 Повторюсь и здесь A cкорость не пробовали сравнивать И чем оно лучше чем пых, OpenEcho (?), 21:46 , 24-Окт-19, (32) А ты пробовал Или только на leftpad онанировать умеем , Аноним (27), 03:15 , 25-Окт-19, (47) –2 Я всем говарил вспомнити npm leftpad и что Js быт не должно Но вам как горохи, Аноним (49), 08:42 , 25-Окт-19, (51) Не пробывал бы, тогда бы и не писал логика где А при чем здесь leftpad, если , OpenEcho (?), 10:47 , 25-Окт-19, (64) ну так удиви нас результатамиты же сам его притянул , Аноним (68), 11:35 , 25-Окт-19, (68) А тебя в гугле забанили что ли Слушай, перечитай еще раз, я не гнал на ноду, a п, OpenEcho (?), 11:49 , 25-Окт-19, (72) то есть теперь сторонний код можно запускать не только через phar Это здоров, Аноним (49), 20:32 , 24-Окт-19, (4)   // Удачи code location php 124 fastcgi_split_path_info p, OpenEcho (?), 20:54 , 24-Окт-19, (12) +2   // Это запрещает выполнение 3rd-party-кода из phar , Аноним (49), 20:56 , 24-Окт-19, (13)   // https snuffleupagus readthedocs io config html whitelist-of-stream-wrappers, Аноним (16), 20:58 , 24-Окт-19, (16)   Чукча писатель , OpenEcho (?), 21:05 , 24-Окт-19, (19) +1   только mime забыл изменить с бинарного, Аноним (16), 20:56 , 24-Окт-19, (14)   // Просвяти, - а то не понятна глубина мысли, OpenEcho (?), 21:11 , 24-Окт-19, (21)   Вместо отображения файла скачает потокdefault_type application octet-stream , Аноним (16), 21:13 , 24-Окт-19, (22)   Телепатия не удалась default_type text plain И вообще не понятно к чему это, в, OpenEcho (?), 21:24 , 24-Окт-19, (25) +1   но ты отдаешь html а не text, конь в пальто (?), 14:22 , 26-Окт-19, (86) +1   Друг, - Это динамика nginx в этом случае просто прокси, что выставит пых, то и, OpenEcho (?), 14:52 , 26-Окт-19, (87) –1   при чем тут это я про твой return 404 doctyle html div style font-size 800, конь в пальто (?), 15:16 , 26-Окт-19, (88)   Вы не поняли юмора Это doctyle html div style font-size 800 text-align ce, OpenEcho (?), 16:40 , 26-Окт-19, (90)   VestaCP пора ломать, Аноним (16), 20:34 , 24-Окт-19, (5) –2 // grep -R fastcgi_path_info usr local vesta , Аноним (16), 20:35 , 24-Окт-19, (6) В nginx wiki ubuntu есть еще одна уязвимость связанная с localhostтам по дефолту, Аноним (16), 20:48 , 24-Окт-19, (10) +2 // ссылочку плз, Anduy (?), 21:23 , 24-Окт-19, (24) // https help ubuntu ru wiki nginx-phpfpm D0 BD D0 B0 D1 81 D1 82 D1 80 D0 BE D0, Аноним (16), 21:43 , 24-Окт-19, (28) https help ubuntu ru wiki nginx-phpfpm настройка_nginx, Аноним (16), 21:44 , 24-Окт-19, (29) // Корневая директория сайта работающего на данном сервере root var www , Аноним (16), 21:45 , 24-Окт-19, (30) Пугает наличие кучи rewrite директив к конфигах нджинкса наводящие на не хорош, OpenEcho (?), 21:57 , 24-Окт-19, (33) +1 насчёт описанной в статье траблы, там же есть try_files перед split_path_info, Аноним (44), 02:17 , 25-Окт-19, (44) // try_files сбрасывает переменную PATH_INFO , поэтому либо надо запоминать кон, OpenEcho (?), 11:41 , 25-Окт-19, (70) // ну так если try_files вызывется до path_info то это не проблема и в вики path_in, Аноним (77), 14:53 , 25-Окт-19, (77) Нет В этом то и есть проблема, fastcgi_path_info заполняется после вызова fast, OpenEcho (?), 16:39 , 25-Окт-19, (80) mdounin деградант, Аноним (85), 04:04 , 26-Окт-19, (85) –2 В эксплоите есть забавные моменты https github com neex phuip-fpizdam blob d4, Аноним (18), 21:04 , 24-Окт-19, (18) +9 // С таким названием ничего удивительного , Darth Revan (ok), 21:08 , 24-Окт-19, (20) +3 Ёпрст, автор-то Электроник , Аноним (40), 00:34 , 25-Окт-19, (40) +2 Скрыто модератором, Онаним (?), 22:26 , 24-Окт-19, (35) –9 // Скрыто модератором, Григорий Федорович Конин (?), 22:43 , 24-Окт-19, (37) +2 Скрыто модератором, OpenEcho (?), 23:12 , 24-Окт-19, (38) +1 // Скрыто модератором, Звукорежиссёр (?), 23:25 , 24-Окт-19, (39) +1 There must be a PATH_INFO variable assignment via statement fastcgi_param PATH_I, хотел спросить (?), 00:44 , 25-Окт-19, (41) // А с чего ей там вообще быть PATH_INFO - это костыль для определения SCRIPT_FILEN, Ilya Indigo (ok), 09:57 , 25-Окт-19, (59) –1 // Чиво SCRIPT_FILENAME The absolute pathname of the currently executing scr, OpenEcho (?), 22:09 , 25-Окт-19, (83) // Тут я извиняюсь, недопонимал какой именно это костыль и как именно с ним извраща, Ilya Indigo (ok), 00:02 , 28-Окт-19, (94) +1 Я недавно перешёл на nginx и не знаю его так хорошо как и Apache, но я сразу отб, Ilya Indigo (ok), 06:13 , 25-Окт-19, (50) // держи в курсе - твои васян-сайты очень важны этой планетке нет К сожалению, вс, Аноним (52), 09:05 , 25-Окт-19, (52) –1 // Держу в курсе Вас и других Васянов, пишущих что PHP это слово даже блокирован, Ilya Indigo (ok), 09:48 , 25-Окт-19, (58) +1 // Ну да, это такая редкость чтобы использовались ЧПУ, вообще нигде их нет , Григорий Федорович Конин (?), 11:47 , 25-Окт-19, (71) Если используется ЧПУ, тогда я тем более проблемы не вижу Или в каждом блоке мож, Ilya Indigo (ok), 12:13 , 25-Окт-19, (73) –2 Вот эта вот конфигурация сверху - очень большой подарок кулхацкерам, классически, OpenEcho (?), 16:32 , 26-Окт-19, (89) +1 В nginx встроили js, чтобы логику с if ами писать Можно считать этот шаг призн, Аноним (92), 04:01 , 27-Окт-19, (92) No comments , OpenEcho (?), 18:27 , 27-Окт-19, (93) хуже - не документации, а записок углем на чьих-то манжетах, где разжевываются с, Аноним (101), 19:37 , 29-Окт-19, (101) Вы читали сообщение на которое я отвечал ЦитируюЯ вот сам не знаю зачем они так , Ilya Indigo (ok), 00:41 , 28-Окт-19, (95) видимо, Илюша, ты не только в назначении path info не силен, но мнение имеешь к , Аноним (101), 21:04 , 29-Окт-19, (102) –1 разумеется не потому, что в корне они и лежат, ну конечно же, нет проблема с , Аноним (101), 19:17 , 29-Окт-19, (100) Аффтар хорош помнится, он ещё в 2017-ом сношал баг-баунти программы у видеохост, Аноним (56), 09:28 , 25-Окт-19, (56) То есть в связке Apache PHP-FPM не воспроизводится , BrainFucker (ok), 09:57 , 25-Окт-19, (60) –1 // В новости об этом ничего не сказано, скорее всего тоже должно работать, просто н, Нанобот (ok), 10:17 , 25-Окт-19, (61) Я правильно понимаю, что если сделать так, то эксплойт не страшен fastcgi_split_, Аноним (69), 11:38 , 25-Окт-19, (69) –2 // о времена, о админчики-девляляпляп , cewlhazkx0r (?), 17:46 , 25-Окт-19, (81) О, этот многострадальный код - это несколько модифицированная копипаста из древн, KonstantinB (ok), 15:28 , 25-Окт-19, (79) Всегда, когда читаю новости с такими заголовками, то начинаю нервничать, руки ав, Анимайзер (?), 22:08 , 25-Окт-19, (82) О похожем писали ещё в 2010 почти 10 лет назад https forum nginx org read php, spumer (ok), 19:07 , 26-Окт-19, (91) В Ubuntu 18 04 LTS болт положили на исправление , FSA (??), 07:43 , 28-Окт-19, (96) // Не Всё-таки исправили , FSA (??), 23:54 , 28-Окт-19, (99) На опеннете деликатно не стали упоминать о названиях эксплоитов, а на THN полный, InuYasha (?), 13:21 , 28-Окт-19, (97) 8,1,4,5,10,18,41,50,56,60,69,79,82,91,96,97

Сообщения

[Сортировка по времени | RSS]

4. "Уязвимость php-fpm, позволяющая удалённо выполнить код на се..."	+/–
Сообщение от Аноним (49), 24-Окт-19, 20:32
то есть теперь сторонний код можно запускать не только через phar://? Это здорово.
Ответить | Правка | Наверх | Cообщить модератору

	12. "Уязвимость php-fpm, позволяющая удалённо выполнить код на се..."	+2 +/–
	Сообщение от OpenEcho (?), 24-Окт-19, 20:54
	Удачи ! location ~* [^/]\.php(/|$) {   fastcgi_split_path_info ^(.+?\.php)(/.*)$;   if (!-f $document_root$fastcgi_script_name) {     return 404 "<!doctyle html><div style="font-size:800%;text-align:center;">🖕</div>";   } ... }
	Ответить | Правка | Наверх | Cообщить модератору

	13. "Уязвимость php-fpm, позволяющая удалённо выполнить код на се..."	+/–
	Сообщение от Аноним (49), 24-Окт-19, 20:56
	Это запрещает выполнение 3rd-party-кода из phar://?
	Ответить | Правка | Наверх | Cообщить модератору

	16. "Уязвимость php-fpm, позволяющая удалённо выполнить код на се..."	+/–
	Сообщение от Аноним (16), 24-Окт-19, 20:58
	https://snuffleupagus.readthedocs.io/config.html#whitelist-o...
	Ответить | Правка | Наверх | Cообщить модератору

	19. "Уязвимость php-fpm, позволяющая удалённо выполнить код на се..."	+1 +/–
	Сообщение от OpenEcho (?), 24-Окт-19, 21:05
	Чукча писатель ? > то есть теперь сторонний код можно запускать ^^^не только через phar://^^^ ?
	Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

	14. "Уязвимость php-fpm, позволяющая удалённо выполнить код на се..."	+/–
	Сообщение от Аноним (16), 24-Окт-19, 20:56
	только mime забыл изменить с бинарного
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

	21. "Уязвимость php-fpm, позволяющая удалённо выполнить код на се..."	+/–
	Сообщение от OpenEcho (?), 24-Окт-19, 21:11
	Просвяти, - а то не понятна глубина мысли
	Ответить | Правка | Наверх | Cообщить модератору

	22. "Уязвимость php-fpm, позволяющая удалённо выполнить код на се..."	+/–
	Сообщение от Аноним (16), 24-Окт-19, 21:13
	Вместо отображения файла скачает поток default_type application/octet-stream;
	Ответить | Правка | Наверх | Cообщить модератору

	25. "Уязвимость php-fpm, позволяющая удалённо выполнить код на се..."	+1 +/–
	Сообщение от OpenEcho (?), 24-Окт-19, 21:24
	Телепатия не удалась :) default_type text/plain; И вообще не понятно к чему это, вместо ... там еще есть что почитать ;)
	Ответить | Правка | Наверх | Cообщить модератору

	86. "Уязвимость php-fpm, позволяющая удалённо выполнить код на се..."	+1 +/–
	Сообщение от конь в пальто (?), 26-Окт-19, 14:22
	но ты отдаешь html а не text
	Ответить | Правка | Наверх | Cообщить модератору

	87. "Уязвимость php-fpm, позволяющая удалённо выполнить код на се..."	–1 +/–
	Сообщение от OpenEcho (?), 26-Окт-19, 14:52
	> но ты отдаешь html а не text Друг, - Это динамика ! nginx в этом случае просто прокси, что выставит пых, то и отдастся... default_type работает для статики, а в динамике сам бэкенд определяет какие content-type выставлять в header-ах
	Ответить | Правка | Наверх | Cообщить модератору

	88. "Уязвимость php-fpm, позволяющая удалённо выполнить код на се..."	+/–
	Сообщение от конь в пальто (?), 26-Окт-19, 15:16
	при чем тут это?) я про твой return 404 "<!doctyle html><div style="font-size:800%;text-align:center;">🖕</div>";  с дефолтным mime text/plain
	Ответить | Правка | Наверх | Cообщить модератору

	90. "Уязвимость php-fpm, позволяющая удалённо выполнить код на се..."	+/–
	Сообщение от OpenEcho (?), 26-Окт-19, 16:40
	Вы не поняли юмора ;) Это: <!doctyle html><div style="font-size:800%;text-align:center;">🖕</div> для любителей copy/paste, особенно то, что внутри дива и видимо только в файервоксе ;) В реальных конвигах, ретурн возвращает просто 404 или вообще empty, в зависимости от задач... но чистый текст определлено
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема