"PHP 5 'posix_access()' Function 'safe_mode' Bypass Directory Traversal Vulnerability (http://www.securityfocus.com/bid/29797)" - в PHP 5 найдена уязвимость, позволяющая обойти ограничение safe_mode через передачу некорректных параметров в функцию posix_access(). Наличие проблемы подтверждено в PHP 5.2.6.URL: http://www.securityfocus.com/bid/29797
Новость: http://www.opennet.me/opennews/art.shtml?num=16587
Фантастический язык
>Фантастический языкНаконец-то. Я ждал сообщений об уязвимостях в пхп каждый день, и всё удивлялся - почему их нет.
да, действительно, давненько уже это затишье
>Наконец-то. Я ждал сообщений об уязвимостях в пхп каждый день, и всё
>удивлялся - почему их нет.PHP используют.Много и часто.Поэтому любой ляп на виду.А вот кульный язык "хреновина" изобретенный "Васей Пупкиным" из деревни "Гадюкино" использует 10 человек на планете - друзья Васи.Поэтому никто не ищет в нем ляпы.В свете этого может возникнуть ощущение что "хреновина" безопаснее чем "PHP".Насколько это будет коррелировать с реальностью - вопрос номер два.Если бы язык "хреновина" использовало столько же народа как PHP - еще вопрос что бы нашли в нем.А так - судя по наблюдениям байки про неуловимого Джо придуманы не просто так :).Популярный проект - баги там находятся.А непопулярный и никому не нужный - так никто и баги не ищет.Ну и не находятся они соответственно. Чего так орать по этому поводу не понятно.Еще блин поорите по поводу того что дважды два - четыре.
>Фантастический языкне хотим не используем..
>>Фантастический язык
>
>не хотим не используем..Ну я же сказал "Фантастический язык" - или ты сам понимаешь что это не может быть правдой?
>Фантастический языкСделайте лучше - флаг в руки.Кто-то не дает?Остается правда проблема - надо еще как-то будет убедить остальных что у вас оно лучше чем PHP и что там еще.А вот это нелегко.
Так уже есть - бери не хочу. Более того я абсолютно уверен что и ПХП нужен.И прежде всего для случайных в программировании людей - которых естественно большенство.
>Так уже есть - бери не хочу. Более того я абсолютно уверен
>что и ПХП нужен.И прежде всего для случайных в программировании людей
>- которых естественно большенство.прям как анономов на форумах.
и что есть, что брать не хотят?
И вот интересно, хоть кто нибудь из коментаторов понял в чем проблема?
P.S. safe_mode - зло.
Дык! А вот ты как раз не понял :) PHP - зло!
>Дык! А вот ты как раз не понял :) PHP - зло!а что добро?
>а что добро?Наверное какоенить руби или питон.А поскольку было метко замечено что добро должно быть с кулаками и что вообще нужно наносить пользу и причинять добро - синтаксис у этого "добра" в крайней степени похабный, еще похабнее чем си-подобный синтаксис PHP.
хорошо сказал :-)
пользу наносить надо так, что бы следы оставалисьзы:
обычно, кто пишет, что php - это зло, сами в лучшем случае работают на каком-нибудь asp.net, а когда это начинает вести себя, мягко говоря, странно, то пытаются сделать что-то типа апач+моно.
у php много преимуществ:
скорость разработки,
объем и логичность кода,
система доступа к данным - по моему мнению, самая быстрая из возможных конкурентов и использует нативные механизмы (в данном вопросе и к моему сожалению perl, например, сильно отстает... хоть и сравнивать их нельзя категорически).
>обычно, кто пишет, что php - это зло, сами в лучшем случае
>работают на каком-нибудь asp.net,Работаю на РНР - это зло! =)
>у php много преимуществ:
>скорость разработки,по сравнению с чем? Одни только знаки $, -> и прочая чушь отнимают кучу времени, а в плане запоминания 4000 функций с совершенно разными принципами названий и параметров - скорее на ассемблере напишешь... =)
>объем и логичность кода,
Логичность? Где? В С-исходниках? Уж где-где, а в РНР-коде никакой логичности нет. Почему например array_keys, но sort? а функции str* ??? И т.д.
>система доступа к данным - по моему мнению, самая быстрая из возможных
>конкурентов и использует нативные механизмыНу конечно, надо же хоть чем-то народ заинтересовывать. Домохозяйкам нужен нативный mysql, и точка.
>(в данном вопросе и к моему
>сожалению perl, например, сильно отстает... хоть и сравнивать их нельзя категорически).Перл - некоммерческий проект.
РНР - чисто коммерческий. см. www.zend.com
>Работаю на РНР - это зло! =)так не работайте на "зле".
есть куча альтернатив, может они будут для Вас добрее.
>по сравнению с чем? Одни только знаки $, -> и прочая чушь отнимают кучу времени, а в плане запоминания 4000 функций с совершенно разными принципами названий и параметров - скорее на ассемблере напишешь... =)у PHP замечательная документация. одна из лучших, что я видел.
если Вы думаете, что альтернативы проще (asp.net+ado.net+.., j2ee+ejb+..., ...) - дерзайте!
ну а про ассемблер - тоже вариант, не хуже чем остальные, говорю как бывший преподаватель оного.
>Ну конечно, надо же хоть чем-то народ заинтересовывать. Домохозяйкам нужен нативный mysql, и точка.ну если Вы пишите на PHP, стоя за плитой,...
>Перл - некоммерческий проект.
>РНР - чисто коммерческий. см. www.zend.comмне очень нравиться perl, но... если для Вас сложен PHP и Вы сравнивали его с asm, то perl - это программирование сразу в hex виде.
Ну просто капец уязвимость. Функция posix_access позволяет только посмотреть существует ли некоторый файл. Т.е. узявимость позволяет проверить, не существует ли некоторый файл, не учитывая safe_mode. Обычно такое называют багом с наименьшим приоритетом, так как трудно представить как его можно использовать для чего-нибудь полезного. Кроме того posix-группу функций в PHP коде используют очень нечасто.P.S. Для других языков программирования такая ошибка бы потянула максимум на упоминание в changelog (типа в posix_access исправлена ошибка, позволяющая в некоторых случаях получить информацию о существовании файла за пределом разрешенного каталога - ужастно :) ).
>Ну просто капец уязвимость. Функция posix_access позволяет только посмотреть существует ли некоторый
>файл. Т.е. узявимость позволяет проверить, не существует ли некоторый файл, не
>учитывая safe_mode. Обычно такое называют багом с наименьшим приоритетом, так как
>трудно представить как его можно использовать для чего-нибудь полезного. Кроме того
>posix-группу функций в PHP коде используют очень нечасто.
>
>P.S. Для других языков программирования такая ошибка бы потянула максимум на упоминание
>в changelog (типа в posix_access исправлена ошибка, позволяющая в некоторых случаях
>получить информацию о существовании файла за пределом разрешенного каталога - ужастно
>:) ).Холиварщикам эти подробности скучны :)
Главна - высказаться в ключе мутного бормотания! :)
>Главна - высказаться в ключе мутного бормотания! :)Нее, на самом деле главная задача любого тролля это обосрать неплохой проект не сделав при том ничего сравнимого =)
>>Главна - высказаться в ключе мутного бормотания! :)
>
>Нее, на самом деле главная задача любого тролля это обосрать неплохой проект
>не сделав при том ничего сравнимого =)РНР в принципе обсирания вполне достоин. Хотя конечно совсем не за баг в посикс_аксесс.
Насчет сделать сравнимое - если бы каждый делал сравнимое, то у каждого и стоял бы собственный язык, собственная ось и собственный инет, и сидели бы, как финны по баням. А чтобы проекты улучшались, иногда их не мешает пообсирать.
альтернативу приведите.а в принципе обсирания - так что ни возьми, тоже самое.
новость преувеличивают. уязвимость никакая. safe_mode используют единицы. если строить качественный хостинг, то для каждого пользователя должно существовать свое chroot окружение.
>новость преувеличивают. уязвимость никакая. safe_mode используют единицы. если строить качественный хостинг, то
>для каждого пользователя должно существовать свое chroot окружение.Вполне достаточно пускать пользовательские процессы с правами пользователя.
Мне вот интересно вообще такой функционал как safe mode существует в perl/ruby/python которые тут многие превозносят потому что "это круто"? Ведь если нет функционала то нет и ошибок :) Или хотя бы open_basedir? Какие средства управления/ограничения runtime сущесвуют?Вот натолкнулся на статью. http://www.goodwebhosting.info/article.py/15 Вывод? Зачем хостеру такое счастье с этим hyped питоном? Что есть для shared hosting чтоб и безопасно? php.ini смотрели когда нибудь? Или каждому приложению по своему апачу будем давать?
Ага, вот новость! http://www.opennet.me/opennews/art.shtml?num=16601 Ужос то какой! Оказывается и на солнце бывают пятна :)
последнее время появилось большое количество квалифицироанных рнр-програмистов, 4-ка уходит в небытие, некоторые рнр-шники знакомятся с ruby, asp, java, python и при этом остаются на рнр.
тяжёлые времена настали для обсирателей рнр, даже мелкие ошибки редко появляются