forum.opennet.ru

"Уязвимость php-fpm, позволяющая удалённо выполнить код на се..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Заметили полезную информацию ? Пожалуйста добавьте в FAQ на WIKI.

. "Уязвимость php-fpm, позволяющая удалённо выполнить код на се..."	–1 +/–
Сообщение от Аноним (102), 29-Окт-19, 21:04
> Видимо Вы не понимаете что корень сайта и документ рут это разные вещи. видимо, Илюша, ты не только в назначении path info не силен, но мнение имеешь. > но под корнем сайта я понимаю, это директория сайта на сервере, > а документ рут - это / то, что видит web-сервер к твоему сожалению, общепринятая терминология - ровно обратная. Корень сайта - это про сайт, то что видит клиент. document root - про конфигурацию сервера. > директория uploads, если вы подразумеваете что там должны быть документы, он вряд ли что конкретное подразумевает, но, в отличие от тебя, явно не полтора ненужных васян-сайтика админит. И понимает, что там может быть что угодно - у меня вот в одном таком лежит 120терабайт. Во многих случаях лучше бы ее пехепе никак не видел, чем наоборот. > она должна быть за документ рутом и сервер её никак вообще не должен > видеть, а отдаваться они должны через php как поток (всегда на загрузку). вот поэтому тебя тот сервис админить и не возьмут. Так и останешься ключи подавать. Потому что ни про sendfile, ни про прочие вещи ты - не, не слышал, давайте все терабайты отдавать через пехепе, ага. Освоив (с пятого на десятое) молоток - все проблемы рассматриваешь как гвоздь? ps: отличие в скорости обработки что регексов, что обычных, что вложенных хоть по сто раз locations ты на своих васян-серверах не увидишь никаким наносекундомером. А вот отличие отдачи статики напрямую - иногда отличие между работающим и сдохшим сервисами. Но тебе сюда пока рано, это для взрослых. Освой пока отвертку, потом перейдешь к плоскогубцам. Токарные станки не для тебя.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Уязвимость php-fpm, позволяющая удалённо выполнить код на се..., opennews, 24-Окт-19, 20:10 [смотреть все]

https salsa debian org nginx-team nginx blob buster debian conf snippets fastc, Darth Revan, 24-Окт-19, 20:46 (8)
Кто-то ещё php использует , Аноним, 24-Окт-19, 20:10 (1) //
- да, анонимус, 24-Окт-19, 20:14 (2)
- Более 80 сайтовhttps haydenjames io 80-percent-web-powered-by-php , Аноним, 24-Окт-19, 20:14 (3) //
  - в 2000 году , Аноним, 24-Окт-19, 20:46 (7)
  - Большинство ошибается , Аноним, 24-Окт-19, 20:46 (9) //
    - нет, Аноним, 24-Окт-19, 20:56 (15)
  - большинство из них - сайты визитки одностраничники, anonn, 24-Окт-19, 22:35 (36) //
    - Эти что ли Facebook Yahoo Wikipedia WordPress Tumblr MailCh, OpenEcho, 25-Окт-19, 02:32 (46)
      - Я так понимаю, это исчерпывающий список большинства сайтов в интернете , Аноним, 25-Окт-19, 04:32 (49)
        
        Я привел конкретные доказательства, который каждый может перепроверить И в чем, OpenEcho, 25-Окт-19, 11:01 (65)
        Открываем hh и смотрим вакансии похапе на бекэнде и пару вкраплений смузихлебов, Ананнимас, 25-Окт-19, 12:41 (74)
        
        1 488 вакансий 171 php 187 https hh ru search vacancy area 1 st searchVa, Аноним, 25-Окт-19, 13:01 (76)
        
        Сам-то вакансии смотрел Там к вебу мало что имеет отношение , Ананнимас, 25-Окт-19, 15:11 (78)
      - уж гугл то точно не на пхпТо что ты описал это единственные крупные ребята кто п, anonn, 25-Окт-19, 10:42 (63)
        
        Так в этом то и есть ответ на оригинальный вопрос Кто-то ещё php использует , OpenEcho, 25-Окт-19, 11:15 (66)
    - На одностраничниках как правило нет PHP, Аноним, 25-Окт-19, 09:25 (55)
      - К сожалению большинству строителям интернета даже одностранички влом писать вр, OpenEcho, 25-Окт-19, 11:21 (67)
        
        потому как есть куча плагинов, магазинов, галерей и наконец скинов юзерам хочем, Ананнимас, 25-Окт-19, 12:48 (75)
  - Читай внимательно, там дата естьDecember 15, 2017 by Hayden James, in Blog Linux, Тортик с кремом, 25-Окт-19, 09:25 (54)
- Просвяти плыз заблудших, что рекомендовать юзерам в замену пыха , OpenEcho, 24-Окт-19, 21:03 (17) //
  - Пихон , 123, 24-Окт-19, 21:22 (23) //
    - Скорость не пробовали сравнивать , OpenEcho, 24-Окт-19, 21:26 (26)
      - Глупость какая-то в 2к19-ом На первом месте - стильность, модность, молодежност, zzz, 24-Окт-19, 22:02 (34)
        
        К великому сожалению Вы - правы, OpenEcho, 25-Окт-19, 02:06 (43)
    - Вы предлагаете вместо одного из самых быстрых скриптовых языков использовать оди, VEG, 25-Окт-19, 10:40 (62)
  - Ноду конечно же, Аноним, 24-Окт-19, 21:39 (27) //
    - Джаваскрипт ещё большее гавно, чем пхп, Евгений, 24-Окт-19, 21:46 (31)
      - Ну не пиши на говне, возьми другой яп, Аноним, 25-Окт-19, 03:16 (48)
      - С чего это JavaScript гавно , foi, 26-Окт-19, 03:41 (84)
    - Повторюсь и здесь A cкорость не пробовали сравнивать И чем оно лучше чем пых, OpenEcho, 24-Окт-19, 21:46 (32)
      - А ты пробовал Или только на leftpad онанировать умеем , Аноним, 25-Окт-19, 03:15 (47)
        
        Я всем говарил вспомнити npm leftpad и что Js быт не должно Но вам как горохи, Аноним, 25-Окт-19, 08:42 (51)
        Не пробывал бы, тогда бы и не писал логика где А при чем здесь leftpad, если , OpenEcho, 25-Окт-19, 10:47 (64)
        
        ну так удиви нас результатамиты же сам его притянул , Аноним, 25-Окт-19, 11:35 (68)
        
        А тебя в гугле забанили что ли Слушай, перечитай еще раз, я не гнал на ноду, a п, OpenEcho, 25-Окт-19, 11:49 (72)
то есть теперь сторонний код можно запускать не только через phar Это здоров, Аноним, 24-Окт-19, 20:32 (4) //
- Удачи code location php 124 fastcgi_split_path_info p, OpenEcho, 24-Окт-19, 20:54 (12) //
  - Это запрещает выполнение 3rd-party-кода из phar , Аноним, 24-Окт-19, 20:56 (13) //
    - https snuffleupagus readthedocs io config html whitelist-of-stream-wrappers, Аноним, 24-Окт-19, 20:58 (16)
    - Чукча писатель , OpenEcho, 24-Окт-19, 21:05 (19)
  - только mime забыл изменить с бинарного, Аноним, 24-Окт-19, 20:56 (14) //
    - Просвяти, - а то не понятна глубина мысли, OpenEcho, 24-Окт-19, 21:11 (21)
      - Вместо отображения файла скачает потокdefault_type application octet-stream , Аноним, 24-Окт-19, 21:13 (22)
        
        Телепатия не удалась default_type text plain И вообще не понятно к чему это, в, OpenEcho, 24-Окт-19, 21:24 (25)
        
        но ты отдаешь html а не text, конь в пальто, 26-Окт-19, 14:22 (86)
        
        Друг, - Это динамика nginx в этом случае просто прокси, что выставит пых, то и, OpenEcho, 26-Окт-19, 14:52 (87)
        
        при чем тут это я про твой return 404 doctyle html div style font-size 800, конь в пальто, 26-Окт-19, 15:16 (88)
        
        Вы не поняли юмора Это doctyle html div style font-size 800 text-align ce, OpenEcho, 26-Окт-19, 16:40 (90)
VestaCP пора ломать, Аноним, 24-Окт-19, 20:34 (5) //
- grep -R fastcgi_path_info usr local vesta , Аноним, 24-Окт-19, 20:35 (6)
В nginx wiki ubuntu есть еще одна уязвимость связанная с localhostтам по дефолту, Аноним, 24-Окт-19, 20:48 (10) //
- ссылочку плз, Anduy, 24-Окт-19, 21:23 (24) //
  - https help ubuntu ru wiki nginx-phpfpm D0 BD D0 B0 D1 81 D1 82 D1 80 D0 BE D0, Аноним, 24-Окт-19, 21:43 (28)
  - https help ubuntu ru wiki nginx-phpfpm настройка_nginx, Аноним, 24-Окт-19, 21:44 (29) //
    - Корневая директория сайта работающего на данном сервере root var www , Аноним, 24-Окт-19, 21:45 (30)
- Пугает наличие кучи rewrite директив к конфигах нджинкса наводящие на не хорош, OpenEcho, 24-Окт-19, 21:57 (33)
- насчёт описанной в статье траблы, там же есть try_files перед split_path_info, Аноним, 25-Окт-19, 02:17 (44) //
  - try_files сбрасывает переменную PATH_INFO , поэтому либо надо запоминать кон, OpenEcho, 25-Окт-19, 11:41 (70) //
    - ну так если try_files вызывется до path_info то это не проблема и в вики path_in, Аноним, 25-Окт-19, 14:53 (77)
      - Нет В этом то и есть проблема, fastcgi_path_info заполняется после вызова fast, OpenEcho, 25-Окт-19, 16:39 (80)
    - mdounin деградант, Аноним, 26-Окт-19, 04:04 (85)
В эксплоите есть забавные моменты https github com neex phuip-fpizdam blob d4, Аноним, 24-Окт-19, 21:04 (18) //
- С таким названием ничего удивительного , Darth Revan, 24-Окт-19, 21:08 (20)
- Ёпрст, автор-то Электроник , Аноним, 25-Окт-19, 00:34 (40)
nginx is shit, we know it, Онаним, 24-Окт-19, 22:26 (35) //
- Уязвимость php-fpm, позволяющая удалённо выполнить код на се..., Григорий Федорович Конин, 24-Окт-19, 22:43 (37)
- Who are those - we , OpenEcho, 24-Окт-19, 23:12 (38) //
  - звучит песня we are the world, we are the children , Звукорежиссёр, 24-Окт-19, 23:25 (39)
There must be a PATH_INFO variable assignment via statement fastcgi_param PATH_I, хотел спросить, 25-Окт-19, 00:44 (41) //
- А с чего ей там вообще быть PATH_INFO - это костыль для определения SCRIPT_FILEN, Ilya Indigo, 25-Окт-19, 09:57 (59) //
  - Чиво SCRIPT_FILENAME The absolute pathname of the currently executing scr, OpenEcho, 25-Окт-19, 22:09 (83) //
    - Тут я извиняюсь, недопонимал какой именно это костыль и как именно с ним извраща, Ilya Indigo, 28-Окт-19, 00:02 (94)
Я недавно перешёл на nginx и не знаю его так хорошо как и Apache, но я сразу отб, Ilya Indigo, 25-Окт-19, 06:13 (50) //
- держи в курсе - твои васян-сайты очень важны этой планетке нет К сожалению, вс, Аноним, 25-Окт-19, 09:05 (52) //
  - Держу в курсе Вас и других Васянов, пишущих что PHP это слово даже блокирован, Ilya Indigo, 25-Окт-19, 09:48 (58) //
    - Ну да, это такая редкость чтобы использовались ЧПУ, вообще нигде их нет , Григорий Федорович Конин, 25-Окт-19, 11:47 (71)
      - Если используется ЧПУ, тогда я тем более проблемы не вижу Или в каждом блоке мож, Ilya Indigo, 25-Окт-19, 12:13 (73)
    - Вот эта вот конфигурация сверху - очень большой подарок кулхацкерам, классически, OpenEcho, 26-Окт-19, 16:32 (89)
      - В nginx встроили js, чтобы логику с if ами писать Можно считать этот шаг призн, Аноним, 27-Окт-19, 04:01 (92)
        
        No comments , OpenEcho, 27-Окт-19, 18:27 (93)
        хуже - не документации, а записок углем на чьих-то манжетах, где разжевываются с, Аноним, 29-Окт-19, 19:37 (101)
      - Вы читали сообщение на которое я отвечал ЦитируюЯ вот сам не знаю зачем они так , Ilya Indigo, 28-Окт-19, 00:41 (95)
        
        видимо, Илюша, ты не только в назначении path info не силен, но мнение имеешь к , Аноним, 29-Окт-19, 21:04 (102)
      - разумеется не потому, что в корне они и лежат, ну конечно же, нет проблема с , Аноним, 29-Окт-19, 19:17 (100)
Аффтар хорош помнится, он ещё в 2017-ом сношал баг-баунти программы у видеохост, Аноним, 25-Окт-19, 09:28 (56)
То есть в связке Apache PHP-FPM не воспроизводится , BrainFucker, 25-Окт-19, 09:57 (60) //
- В новости об этом ничего не сказано, скорее всего тоже должно работать, просто н, Нанобот, 25-Окт-19, 10:17 (61)
Я правильно понимаю, что если сделать так, то эксплойт не страшен fastcgi_split_, Аноним, 25-Окт-19, 11:38 (69) //
- о времена, о админчики-девляляпляп , cewlhazkx0r, 25-Окт-19, 17:46 (81)
О, этот многострадальный код - это несколько модифицированная копипаста из древн, KonstantinB, 25-Окт-19, 15:28 (79)
Всегда, когда читаю новости с такими заголовками, то начинаю нервничать, руки ав, Анимайзер, 25-Окт-19, 22:08 (82)
О похожем писали ещё в 2010 почти 10 лет назад https forum nginx org read php, spumer, 26-Окт-19, 19:07 (91)
В Ubuntu 18 04 LTS болт положили на исправление , FSA, 28-Окт-19, 07:43 (96) //
- Не Всё-таки исправили , FSA, 28-Окт-19, 23:54 (99)
На опеннете деликатно не стали упоминать о названиях эксплоитов, а на THN полный, InuYasha, 28-Окт-19, 13:21 (97)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру