forum.opennet.ru

правила/FAQ

регистрация

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Локальная root-увизгвимость в PHP-FPM , opennews (??), 28-Окт-21, (0) [смотреть все]

А я говорил, ставьте Apache2 , Sherry Birkin (?), 18:55 , 28-Окт-21, (5) –16 //

Там таких новостей еще более , srgazh (ok), 18:57 , 28-Окт-21, (7) +8 //

именно такая ровно одна в смысле, об ту же проблему , пох. (?), 21:40 , 28-Окт-21, (28)

А вот да, костылинг костылей в виде FPM такой костылинг , Онаним (?), 21:42 , 28-Окт-21, (29) –2 //

Просто кто-то не осилил парсинг в свое время HTTP и изобрел целый зоопарк этих C, Аноним (48), 03:19 , 29-Окт-21, (48) //

https reactphp org , Аноним (72), 22:25 , 29-Окт-21, (72)

А я говорил, не позволяйте запускать произвольный код , Аноним (50), 04:20 , 29-Окт-21, (50) +1

Интересно чего они ждали , Аноним (9), 19:01 , 28-Окт-21, (9) +1 //

хорошо хоть за уязвимость восприняли , Sw00p aka Jerom (?), 19:08 , 28-Окт-21, (10) +5 //

После того как визг подняли и признали, Аноним (13), 19:34 , 28-Окт-21, (13) +2

Им некогда, они смузи фичи пилят , Аноним (17), 19:58 , 28-Окт-21, (17) +2 //

Ни хрена не смузи В 8 1 будут Fibers - это просто очешуенчик , Онаним (?), 21:51 , 28-Окт-21, (33) +1 //

очешуенчик - wtf ОнаниZм , eee (??), 22:25 , 28-Окт-21, (36)

С дивана долго поднимались, Аноним (18), 20:05 , 28-Окт-21, (18)
Скрыто модератором, QwertyReg (ok), 20:31 , 28-Окт-21, (21) –10 //

Скрыто модератором, Аноним (48), 03:21 , 29-Окт-21, (49) –1

там эксплойт довольно нетривиален и негарантированно сработает в идеале надо чт, пох. (?), 21:29 , 28-Окт-21, (26) +3 //

А ещё эксплуатация может быть осложнена изоляцией в контейнере или подсистемой б, FSA (??), 10:22 , 29-Окт-21, (56)

Ещё один пример того, что должно работать и работает - это не одно и тоже , pashev.me (?), 19:17 , 28-Окт-21, (11) //

Компилируется значит работает с , Аноним (31), 21:47 , 28-Окт-21, (31) +1

Это очень умное решение , Аноним (12), 19:23 , 28-Окт-21, (12) –1 //

это юникс, тебе не понять, вчерародившийся , пох. (?), 21:24 , 28-Окт-21, (24) +2
Есть варианты как еще забиндить порт ниже 1024 и запускать чайлдов под другим юз, Ananimasss (?), 10:57 , 30-Окт-21, (76) //

Чта В 99 99 случаев он работает на той же машине, что и NGINX, с которым они о, yurikoles (ok), 23:17 , 31-Окт-21, (80) +1
Есть CAP_NET_BIND_SERVICE Насчет ограничения setuid setgid с ходу не понял, на, notroot (??), 15:43 , 19-Ноя-21, (83)

Вовремя я избавился от php на своём личном сервере , Рева RarogCmex Денис (?), 19:38 , 28-Окт-21, (14) –3 //

Лучше сразу от сервера Нет сервера - нет уязвимостей , Онаним (?), 21:44 , 28-Окт-21, (30) +8
И чем теперь пробавляемся , Аноним (37), 22:27 , 28-Окт-21, (37)

А термин увизгвимость в html title страницы - это редактор так прикололся , YetAnotherOnanym (ok), 19:49 , 28-Окт-21, (15) +4 //

Это опеннет написан на перле Старое не отредактированное значение всегда остаёт, Аноним (16), 19:52 , 28-Окт-21, (16) +1 //

Задумался над тем, что когда-нибудь на Opennet появится а может уже была новос, Аноним (20), 20:26 , 28-Окт-21, (20)
И при чем тут Perl , Аноним (55), 09:31 , 29-Окт-21, (55) +1 //

действительно о мертвых либо хорошо, либо вообще никак , тигар.логиниться.лень (?), 10:39 , 29-Окт-21, (57) –1

Кому-то видимо особо нравятся свиньи , Аноним (19), 20:09 , 28-Окт-21, (19) –1 //

Скрыто модератором, suffix (ok), 11:45 , 29-Окт-21, (58) //

Скрыто модератором, Ornlo (ok), 13:29 , 29-Окт-21, (59)

Скрыто модератором, suffix (ok), 13:36 , 29-Окт-21, (60)

Скрыто модератором, Ornlo (ok), 14:11 , 29-Окт-21, (61)

Скрыто модератором, suffix (ok), 14:15 , 29-Окт-21, (62)

См под новостью Наводку на новость прислал пох , Аноним84701 (ok), 20:52 , 28-Окт-21, (23) +1 //

ну я ж нечаянно , пох. (?), 21:25 , 28-Окт-21, (25) //

Вот кто-кто, а вот конкретно ты мог и специально , Аноним (31), 21:33 , 28-Окт-21, (27)

Вообще шанс эксплуатации этого дела околонулевой - надо пробить код кто-то юзае, Онаним (?), 21:50 , 28-Окт-21, (32) //

Ну в нескучном язычке, способном выполнить файл при попытке проверить его сущест, пох. (?), 22:06 , 28-Окт-21, (35) –1 //

Для этого, правда, тот файл надо ещё загрузить, да так, чтобы с нужным расширени, Онаним (?), 00:05 , 29-Окт-21, (40)
У этих ребят до сих пор eval ы в коде, чего вы от них хотели-то Там завтра фа, Онаним (?), 00:06 , 29-Окт-21, (41)
мысль по древу к тому, что PHP тут вообще сбоку пришёлся, дай им баш - так они , Онаним (?), 00:07 , 29-Окт-21, (42) //

баш - это вот та самая фигня, которая по нажатию tab исполняла внезапно код Ну , пох. (?), 00:13 , 29-Окт-21, (43) –1

Это по всяким шаредам типа GoDaddy может ударить , Аноним (67), 17:04 , 29-Окт-21, (67) //

FPM на шаредах - это редкое извращение , Онаним (?), 20:07 , 29-Окт-21, (68)

И да, плять, я только что собрал 7 3 31 для проекта с FPM Теперь надо собират, Онаним (?), 21:53 , 28-Окт-21, (34) –1 //

нам бы ваши проблемы исправляет 14 на 25 , пох. (?), 22:41 , 28-Окт-21, (38)
да ни на что не повлияет, понятно что не есть это хорошо, но ничего реально крит, kissmyass (?), 00:13 , 29-Окт-21, (44) –1 //

На шаредах FPM - это угрё утопи нонсенс в общем DНасчёт ECC яхз, ECC памя, Онаним (?), 00:35 , 29-Окт-21, (45) –1 //

так они в новости пишут что с какой-то версии это часть PHP, а не просто отдельн, kissmyass (?), 01:13 , 29-Окт-21, (46) –1

На самом деле отдельный бинарник , Онаним (?), 20:07 , 29-Окт-21, (69)

Забавно - в комментах пишут про мертвый язык или нескучный язык, а уязвимость в , Аноним (39), 23:22 , 28-Окт-21, (39) //

Уязвимость вызвана сохранением указателей в область разделяемой памяти scoreboa, Аноним (51), 05:05 , 29-Окт-21, (51)

у RHEL статус CVE - New Нифига они не выпустили Ещё конь не валялся , gogo (?), 02:48 , 29-Окт-21, (47)
А кто мешает запускать php-fpm не под root-ом name userphp-, Аноним (52), 05:14 , 29-Окт-21, (52) //

У сабжа одна из ключевых фич - запуск рабочих процессов от других пользователей , Нанобот (ok), 08:38 , 29-Окт-21, (54) +1 //

В systemd возможно запустить php-fpm main process не от root, также включить вс, Аноним (52), 22:54 , 29-Окт-21, (74)

Дякую, я й не знав, що так можна, lindevel (ok), 21:35 , 29-Окт-21, (70)
Лень мешает Люди настолько обленились, что хотят безопасности по дефолту БД от, SubGun (??), 01:06 , 30-Окт-21, (75)

Пойти, что ли, выполнить код с правами root из-под непривилегированного пользова, Какаянахренразница (ok), 06:28 , 29-Окт-21, (53) //

На хостингах обычно нет FPM, забудьте , Онаним (?), 14:50 , 30-Окт-21, (77) //

Обычно на моём хостинге есть PHP-FPM, ибо я сам его туда поставил , Какаянахренразница (ok), 20:32 , 31-Окт-21, (78) //

А, ну сочувствую , Онаним (?), 22:30 , 31-Окт-21, (79)

В systemd возможно запустить php-fpm main process не от root, также включить вс, Аноним (52), 22:31 , 29-Окт-21, (73)

Сообщения [Сортировка по времени | RSS]

33. "Локальная root-уязвимость в PHP-FPM " +1 +/–

Сообщение от Онаним (?), 28-Окт-21, 21:51

Ни хрена не смузи. В 8.1 будут Fibers - это просто очешуенчик.

Ответить | Правка | Наверх | Cообщить модератору

36. "Локальная root-уязвимость в PHP-FPM " +/–

Сообщение от eee (??), 28-Окт-21, 22:25

"очешуенчик" - wtf ОнаниZм?

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру