forum.opennet.ru - "OpenNews: Возможность обхода ограничений Open

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"OpenNews: Возможность обхода ограничений Open_Basedir в PHP"

Форумы Разговоры, обсуждение новостей (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"OpenNews: Возможность обхода ограничений Open_Basedir в PHP"
Сообщение от opennews (??) on 05-Окт-06, 16:49
В PHP4 и PHP5 обнаружена новая проблема безопасности (http://www.hardened-php.net/advisory_082006.132.html), дающая возможность злоумышленнику получить доступ ко всей файловой системе несмотря на ограничения Open_Basedir. В качестве временного решения достаточно запретить использование функции symlink() через disable_functions в php.ini. URL: http://secunia.com/advisories/22235/ Новость: https://www.opennet.ru/opennews/art.shtml?num=8466
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Возможность обхода ограничений Open_Basedir в PHP, Dyr, 16:49 , 05-Окт-06, (1)

Возможность обхода ограничений Open_Basedir в PHP, BOLK, 13:39 , 06-Окт-06, (10)

Возможность обхода ограничений Open_Basedir в PHP, si, 16:54 , 05-Окт-06, (2)

Возможность обхода ограничений Open_Basedir в PHP, Userr, 18:39 , 05-Окт-06, (4)

Возможность обхода ограничений Open_Basedir в PHP, hellbot, 18:26 , 05-Окт-06, (3)

Возможность обхода ограничений Open_Basedir в PHP, smb, 20:08 , 05-Окт-06, (5)

Возможность обхода ограничений Open_Basedir в PHP, Квагга, 13:36 , 06-Окт-06, (9)

Возможность обхода ограничений Open_Basedir в PHP, snov, 18:37 , 06-Окт-06, (11)

Возможность обхода ограничений Open_Basedir в PHP, hellbot, 21:34 , 06-Окт-06, (13)

Возможность обхода ограничений Open_Basedir в PHP, koder, 22:29 , 05-Окт-06, (6)
Возможность обхода ограничений Open_Basedir в PHP, FSA, 13:20 , 06-Окт-06, (8)

Возможность обхода ограничений Open_Basedir в PHP, hellbot, 21:33 , 06-Окт-06, (12)

Возможность обхода ограничений Open_Basedir в PHP, Аноним, 10:38 , 06-Окт-06, (7)
Возможность обхода ограничений Open_Basedir в PHP, ping, 12:54 , 09-Окт-06, (14)
Возможность обхода ограничений Open_Basedir в PHP, Анонимоус, 23:02 , 09-Окт-06, (15)
Возможность обхода ограничений Open_Basedir в PHP, Amazonka, 11:18 , 10-Окт-06, (16)

Возможность обхода ограничений Open_Basedir в PHP, ping, 11:45 , 10-Окт-06, (17)

Возможность обхода ограничений Open_Basedir в PHP, Amazonka, 11:49 , 10-Окт-06, (18)

Возможность обхода ограничений Open_Basedir в PHP, ping, 12:53 , 10-Окт-06, (19)

Возможность обхода ограничений Open_Basedir в PHP, Amazonka, 11:07 , 11-Окт-06, (20)

Возможность обхода ограничений Open_Basedir в PHP, ping, 11:20 , 11-Окт-06, (21)

Возможность обхода ограничений Open_Basedir в PHP, Amazonka, 12:54 , 11-Окт-06, (22)

Сообщения по теме [Сортировка по времени, UBB]

1. "Возможность обхода ограничений Open_Basedir в PHP"

Сообщение от Dyr (??) on 05-Окт-06, 16:49

За..ли PHP'цы со своими многочисленными дырками. Это помимо всего прочего.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Возможность обхода ограничений Open_Basedir в PHP"

Сообщение от BOLK on 06-Окт-06, 13:39

Почему вас это беспокоит?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Возможность обхода ограничений Open_Basedir в PHP"

Сообщение от si on 05-Окт-06, 16:54

кстати в mod_perl нету даже такого хоить и кривого решения

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Возможность обхода ограничений Open_Basedir в PHP"

Сообщение от Userr on 05-Окт-06, 18:39

к счастью

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Возможность обхода ограничений Open_Basedir в PHP"

Сообщение от hellbot on 05-Окт-06, 18:26

Да что же все так не любят php ?
Забыли добавить что подвержены данной проблеме только Nix системы, потому как Windows - слишком ущербная для этого. И если хотя бы одна из платформ не подвержена, значит проблема не языка ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Возможность обхода ограничений Open_Basedir в PHP"

Сообщение от smb on 05-Окт-06, 20:08

А что, господин рассматривает windows как платформу для организации web-сервера с PHP?Удачи...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Возможность обхода ограничений Open_Basedir в PHP"

Сообщение от Квагга on 06-Окт-06, 13:36

Для разработки - да. 99% известных мне разработчиков сидят на XP. WAMP.
И Cygwin X.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Возможность обхода ограничений Open_Basedir в PHP"

Сообщение от snov (??) on 06-Окт-06, 18:37

Какие проблемы с безопасностью на хосте разработчика? :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Возможность обхода ограничений Open_Basedir в PHP"

Сообщение от hellbot on 06-Окт-06, 21:34

С тех самых пор, как специфическая возможность ОС стала ошибкой языка, хотя решать вопросы безопастности должен вебсервер который для всех платформ един.
А пока сплошные заплатки и костыли.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Возможность обхода ограничений Open_Basedir в PHP"

Сообщение от koder on 05-Окт-06, 22:29

Т.к. DOS точно не подвержена то авторитетно заявляю что ето проблема к ПыхПых'у никакого отношения не имеет :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Возможность обхода ограничений Open_Basedir в PHP"

Сообщение от FSA (??) on 06-Окт-06, 13:20

И кто ж вам сказал, что open_basedir при работе в Windows не используется???

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Возможность обхода ограничений Open_Basedir в PHP"

Сообщение от hellbot on 06-Окт-06, 21:33

а кто сказал что в windows есть symlink ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Возможность обхода ограничений Open_Basedir в PHP"

Сообщение от Аноним on 06-Окт-06, 10:38

Никто не использовал Resin под это дело? Он вроде РНР может интерпретировать, но как он в плане скорости?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Возможность обхода ограничений Open_Basedir в PHP"

Сообщение от ping (??) on 09-Окт-06, 12:54

юзайте яву она ява.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Возможность обхода ограничений Open_Basedir в PHP"

Сообщение от Анонимоус on 09-Окт-06, 23:02

> Для разработки - да. 99% известных мне разработчиков сидят на XP. WAMP
Так уж и 99?
> юзайте яву она ява.
...тормозна, глюкава и тоже дырява :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Возможность обхода ограничений Open_Basedir в PHP"

Сообщение от Amazonka (??) on 10-Окт-06, 11:18

Подскажите, как правильно прописать в php.ini?
disable_functions = symlink()
на такое ругается.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Возможность обхода ограничений Open_Basedir в PHP"

Сообщение от ping (??) on 10-Окт-06, 11:45

>Подскажите, как правильно прописать в php.ini?
>disable_functions = symlink()
>на такое ругается.

скобки убери

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Возможность обхода ограничений Open_Basedir в PHP"

Сообщение от Amazonka (ok) on 10-Окт-06, 11:49

>>Подскажите, как правильно прописать в php.ini?
>>disable_functions = symlink()
>>на такое ругается.
>
>
>скобки убери
убрала, та же фигня, ругается еще больше.
попробовала вариант:
disable_functions =
symlink = Off
Ошибок на это не выдает, но будет ли так правильно?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Возможность обхода ограничений Open_Basedir в PHP"

Сообщение от ping (??) on 10-Окт-06, 12:53

>>>Подскажите, как правильно прописать в php.ini?
>>>disable_functions = symlink()
>>>на такое ругается.
>>
>>
>>скобки убери
>убрала, та же фигня, ругается еще больше.
>попробовала вариант:
>
>disable_functions =
>symlink = Off
>Ошибок на это не выдает, но будет ли так правильно?
не знаю.
запихай это в symlink.php и проверь.
<?php
$res=symlink ( "symlink.php", "link.php" );
if ($res)
{
echo "symlinks are enabled";
}
else
{
echo "symlinks are not enabled";
}
?>

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Возможность обхода ограничений Open_Basedir в PHP"

Сообщение от Amazonka (ok) on 11-Окт-06, 11:07

>не знаю.
>запихай это в symlink.php и проверь.
>
><?php
>$res=symlink ( "symlink.php", "link.php" );
>
>if ($res)
>{
> echo "symlinks are enabled";
>}
>else
>{
> echo "symlinks are not enabled";
>}
>?>
Правильным оказался вариант:
disable_functions = symlink
Но как то интересно он заработал, после 3 перезагрузки понял конфиг, стал работать и перестал писать ошибки. PHP что уже как винда работает, 5 раз перезагрузись и все будет Ok? Странно как то.....

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Возможность обхода ограничений Open_Basedir в PHP"

Сообщение от ping (??) on 11-Окт-06, 11:20

>>не знаю.
>>запихай это в symlink.php и проверь.
>>
>><?php
>>$res=symlink ( "symlink.php", "link.php" );
>>
>>if ($res)
>>{
>> echo "symlinks are enabled";
>>}
>>else
>>{
>> echo "symlinks are not enabled";
>>}
>>?>
>Правильным оказался вариант:
>disable_functions = symlink
>Но как то интересно он заработал, после 3 перезагрузки понял конфиг, стал
>работать и перестал писать ошибки. PHP что уже как винда работает,
>5 раз перезагрузись и все будет Ok? Странно как то.....

так я же говорил, что скобки убери :-)
в каком виде у тебя работает пхп в с веб-сервером? php-cgi или mod_php?
и каким образом "рестартила пхп" ?
у меня изменения в php.ini вступают в силу после рестарта апача(пхп скомпилен модулем), и достаточно одного раза рестартнуть.
ось: freebsd 6.2PR.
а таких проблем как у тебя не было.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "Возможность обхода ограничений Open_Basedir в PHP"

Сообщение от Amazonka (ok) on 11-Окт-06, 12:54

>так я же говорил, что скобки убери :-)
>в каком виде у тебя работает пхп в с веб-сервером? php-cgi или
>mod_php?
У меня через mod_php работает.
>и каким образом "рестартила пхп" ?
>у меня изменения в php.ini вступают в силу после рестарта апача(пхп скомпилен
>модулем), и достаточно одного раза рестартнуть.
Аналогично и у меня. Рестартила апач, после 3 рестарта перестал писать ошибки в логах, и сайт заработал как положено. Раньше тоже достаточно было один раз рестартануть, почему и удивляюсь :).
>ось: freebsd 6.2PR.
>а таких проблем как у тебя не было.
slackware 10, у меня таких непоняток тоже раньше не возникало.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Возможность обхода ограничений Open_Basedir в PHP"
Сообщение от Dyr (??) on 05-Окт-06, 16:49
За..ли PHP'цы со своими многочисленными дырками. Это помимо всего прочего.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Возможность обхода ограничений Open_Basedir в PHP"
	Сообщение от BOLK on 06-Окт-06, 13:39
	Почему вас это беспокоит?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Возможность обхода ограничений Open_Basedir в PHP"
Сообщение от si on 05-Окт-06, 16:54
кстати в mod_perl нету даже такого хоить и кривого решения
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Возможность обхода ограничений Open_Basedir в PHP"
	Сообщение от Userr on 05-Окт-06, 18:39
	к счастью
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

3. "Возможность обхода ограничений Open_Basedir в PHP"
Сообщение от hellbot on 05-Окт-06, 18:26
Да что же все так не любят php ? Забыли добавить что подвержены данной проблеме только Nix системы, потому как Windows - слишком ущербная для этого. И если хотя бы одна из платформ не подвержена, значит проблема не языка ?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Возможность обхода ограничений Open_Basedir в PHP"
	Сообщение от smb on 05-Окт-06, 20:08
	А что, господин рассматривает windows как платформу для организации web-сервера с PHP?Удачи...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Возможность обхода ограничений Open_Basedir в PHP"
	Сообщение от Квагга on 06-Окт-06, 13:36
	Для разработки - да. 99% известных мне разработчиков сидят на XP. WAMP. И Cygwin X.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Возможность обхода ограничений Open_Basedir в PHP"
	Сообщение от snov (??) on 06-Окт-06, 18:37
	Какие проблемы с безопасностью на хосте разработчика? :)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Возможность обхода ограничений Open_Basedir в PHP"
	Сообщение от hellbot on 06-Окт-06, 21:34
	С тех самых пор, как специфическая возможность ОС стала ошибкой языка, хотя решать вопросы безопастности должен вебсервер который для всех платформ един. А пока сплошные заплатки и костыли.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Возможность обхода ограничений Open_Basedir в PHP"
	Сообщение от koder on 05-Окт-06, 22:29
	Т.к. DOS точно не подвержена то авторитетно заявляю что ето проблема к ПыхПых'у никакого отношения не имеет :)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Возможность обхода ограничений Open_Basedir в PHP"
	Сообщение от FSA (??) on 06-Окт-06, 13:20
	И кто ж вам сказал, что open_basedir при работе в Windows не используется???
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Возможность обхода ограничений Open_Basedir в PHP"
	Сообщение от hellbot on 06-Окт-06, 21:33
	а кто сказал что в windows есть symlink ?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

7. "Возможность обхода ограничений Open_Basedir в PHP"
Сообщение от Аноним on 06-Окт-06, 10:38
Никто не использовал Resin под это дело? Он вроде РНР может интерпретировать, но как он в плане скорости?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

14. "Возможность обхода ограничений Open_Basedir в PHP"
Сообщение от ping (??) on 09-Окт-06, 12:54
юзайте яву она ява.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

15. "Возможность обхода ограничений Open_Basedir в PHP"
Сообщение от Анонимоус on 09-Окт-06, 23:02
> Для разработки - да. 99% известных мне разработчиков сидят на XP. WAMP Так уж и 99? > юзайте яву она ява. ...тормозна, глюкава и тоже дырява :)
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

16. "Возможность обхода ограничений Open_Basedir в PHP"
Сообщение от Amazonka (??) on 10-Окт-06, 11:18
Подскажите, как правильно прописать в php.ini? disable_functions = symlink() на такое ругается.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Возможность обхода ограничений Open_Basedir в PHP"
	Сообщение от ping (??) on 10-Окт-06, 11:45
	>Подскажите, как правильно прописать в php.ini? >disable_functions = symlink() >на такое ругается. скобки убери
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "Возможность обхода ограничений Open_Basedir в PHP"
	Сообщение от Amazonka (ok) on 10-Окт-06, 11:49
	>>Подскажите, как правильно прописать в php.ini? >>disable_functions = symlink() >>на такое ругается. > > >скобки убери убрала, та же фигня, ругается еще больше. попробовала вариант: disable_functions = symlink = Off Ошибок на это не выдает, но будет ли так правильно?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "Возможность обхода ограничений Open_Basedir в PHP"
	Сообщение от ping (??) on 10-Окт-06, 12:53
	>>>Подскажите, как правильно прописать в php.ini? >>>disable_functions = symlink() >>>на такое ругается. >> >> >>скобки убери >убрала, та же фигня, ругается еще больше. >попробовала вариант: > >disable_functions = >symlink = Off >Ошибок на это не выдает, но будет ли так правильно? не знаю. запихай это в symlink.php и проверь. <?php $res=symlink ( "symlink.php", "link.php" ); if ($res) { echo "symlinks are enabled"; } else { echo "symlinks are not enabled"; } ?>
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "Возможность обхода ограничений Open_Basedir в PHP"
	Сообщение от Amazonka (ok) on 11-Окт-06, 11:07
	>не знаю. >запихай это в symlink.php и проверь. > ><?php >$res=symlink ( "symlink.php", "link.php" ); > >if ($res) >{ > echo "symlinks are enabled"; >} >else >{ > echo "symlinks are not enabled"; >} >?> Правильным оказался вариант: disable_functions = symlink Но как то интересно он заработал, после 3 перезагрузки понял конфиг, стал работать и перестал писать ошибки. PHP что уже как винда работает, 5 раз перезагрузись и все будет Ok? Странно как то.....
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "Возможность обхода ограничений Open_Basedir в PHP"
	Сообщение от ping (??) on 11-Окт-06, 11:20
	>>не знаю. >>запихай это в symlink.php и проверь. >> >><?php >>$res=symlink ( "symlink.php", "link.php" ); >> >>if ($res) >>{ >> echo "symlinks are enabled"; >>} >>else >>{ >> echo "symlinks are not enabled"; >>} >>?> >Правильным оказался вариант: >disable_functions = symlink >Но как то интересно он заработал, после 3 перезагрузки понял конфиг, стал >работать и перестал писать ошибки. PHP что уже как винда работает, >5 раз перезагрузись и все будет Ok? Странно как то..... так я же говорил, что скобки убери :-) в каком виде у тебя работает пхп в с веб-сервером? php-cgi или mod_php? и каким образом "рестартила пхп" ? у меня изменения в php.ini вступают в силу после рестарта апача(пхп скомпилен модулем), и достаточно одного раза рестартнуть. ось: freebsd 6.2PR. а таких проблем как у тебя не было.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "Возможность обхода ограничений Open_Basedir в PHP"
	Сообщение от Amazonka (ok) on 11-Окт-06, 12:54
	>так я же говорил, что скобки убери :-) >в каком виде у тебя работает пхп в с веб-сервером? php-cgi или >mod_php? У меня через mod_php работает. >и каким образом "рестартила пхп" ? >у меня изменения в php.ini вступают в силу после рестарта апача(пхп скомпилен >модулем), и достаточно одного раза рестартнуть. Аналогично и у меня. Рестартила апач, после 3 рестарта перестал писать ошибки в логах, и сайт заработал как положено. Раньше тоже достаточно было один раз рестартануть, почему и удивляюсь :). >ось: freebsd 6.2PR. >а таких проблем как у тебя не было. slackware 10, у меня таких непоняток тоже раньше не возникало.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]