OpenForum RSS: Обновление PHP 5.5.12 с устранением уязвимости в PHP-FPM https://www.opennet.me/openforum/vsluhforumID3/95688.html Доступен (http://php.net/index.php#id2014-04-30-1) корректирующий выпуск интерпретатора языка программирования PHP 5.5.12, в котором отмечено 21 исправление (http://www.php.net/ChangeLog-5.php#5.5.12). В расширении PHP-FPM (менеджер процессов FastCGI) устранена уязвимость (http://www.openwall.com/lists/oss-security/2014/04/29/5) (CVE-2014-0185), позволяющая локальному пользователю, имеющему доступ к UNIX-сокету php-fpm, по умолчанию создаваемому с правами 0666, выполнить произвольный PHP-код с правами работающего пула процессов FastCGI (например, в Ubuntu 14.04 можно выполнить код под пользователем www-data).<br><br>URL: http://php.net/index.php#id2014-04-30-1<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=39686<br> Обновление PHP 5.5.12 с устранением уязвимости в PHP-FPM (Sw00p aka Jerom) https://www.opennet.me/openforum/vsluhforumID3/95688.html#12 Fri, 02 May 2014 11:04:56 GMT &gt;обойти ограничение на запуск скрипта только под своими правами.<br><br>как так, если socket owner явно указан? дело в правах на запись остальным пользователям <br> Обновление PHP 5.5.12 с устранением уязвимости в PHP-FPM (www2) https://www.opennet.me/openforum/vsluhforumID3/95688.html#11 Fri, 02 May 2014 10:09:25 GMT Но ведь это же костыли. Раз админ назначил такие права - значит это либо нужно, либо он сам дурак. Запрещать делать опасное нормальным админам только лишь для того, чтобы идиоты не выстрелили себе в ногу - ненормальная практика. Может быть именно это админ и имел в виду - дать всем локальным пользователям, например, менять свой пароль. Или перемонтировать диски (мало ли).<br><br>А тут кто-то решает, что так делать нельзя, потому что есть толпа дураков, которые не осознают опасности и дают доступ всем на всё подряд. После этого для дураков всё остаётся как и прежде, только разумным людям теперь приходится прилагать дополнительные усилия, чтобы обеспечить штатную работу системы (например - включать всех пользователей в специально созданную для этого группу).<br> Обновление PHP 5.5.12 с устранением уязвимости в PHP-FPM (Аноним) https://www.opennet.me/openforum/vsluhforumID3/95688.html#10 Fri, 02 May 2014 04:21:04 GMT &gt; Что за глупость, само собой если процесс запущен от некого пользователя и <br>&gt; пул доступен всем, код будет выполнен от запустившего этот процесс..<br><br>fpm запускает php-скрипты пользователей с правами этих пользователей. Уязвимость позволяет обойти ограничение на запуск скрипта только под своими правами.<br> Обновление PHP 5.5.12 с устранением уязвимости в PHP-FPM (EuPhobos) https://www.opennet.me/openforum/vsluhforumID3/95688.html#9 Thu, 01 May 2014 19:42:40 GMT Что за глупость, само собой если процесс запущен от некого пользователя и пул доступен всем, код будет выполнен от запустившего этот процесс..<br> Обновление PHP 5.5.12 с устранением уязвимости в PHP-FPM (Мимо шёл упырь) https://www.opennet.me/openforum/vsluhforumID3/95688.html#5 Thu, 01 May 2014 14:47:35 GMT Поменяли дефолтные права?<br> Обновление PHP 5.5.12 с устранением уязвимости в PHP-FPM (PavelR) https://www.opennet.me/openforum/vsluhforumID3/95688.html#4 Thu, 01 May 2014 13:28:46 GMT И как они это пофиксили? Баг помечен "приватным", конечно, супердыра жеж - надо скрыть, что по дефолту теперь не 666 а 660, да.<br><br>Прописывать "listen.mode = 0660" уже не в почете, понимаю, да.<br><br><br>Или они как-то по-другому это поправили и теперь "локальный пользователь, даже имеющий доступ к UNIX-сокету php-fpm, по умолчанию созданному с правами 0666, _НЕ СМОЖЕТ_ выполнить произвольный PHP-код с правами работающего пула процессов" ??<br>