URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 133955
[ Назад ]
Исходное сообщение
"Уязвимость в PHP, позволяющая выполнить код при работе в режиме CGI"
Отправлено opennews , 07-Июн-24 11:54 
В PHP выявлена уязвимость (CVE-2024-4577), позволяющая добиться выполнения своего кода на сервере или просмотра  исходного кода PHP-скрипта в случае использования PHP в режиме CGI на платформе Windows (конфигурации с mod_php, php-fpm и FastCGI уязвимости не подвержены). Проблема устранена в выпусках PHP 8.3.8, 8.2.20 и 8.1.29...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=61332

Содержание
Сообщения в этом обсуждении
"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено Аноним , 07-Июн-24 11:54 
PHP на винде, извращенцы
"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено Gemorroj , 07-Июн-24 12:14 
для разработки самое то
"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено Аноним , 07-Июн-24 13:11 
это да, денвер, нотепад++ и фтп-клиент.
"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено Аноним , 07-Июн-24 13:19 
Мамонт в здании!
"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено Аноним , 07-Июн-24 13:35 
php4 нужен, это уже динозавр
"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено Аноним , 07-Июн-24 15:01 
Ну хоть не php6 и то хорошо.
"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено noc101 , 07-Июн-24 21:02 
> Ну хоть не php6 и то хорошо.

Так РНР6 не существует)

"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено Аноним , 07-Июн-24 23:43 
Ну так и я о чем.
Слишком много условий для удачной эксплуатации данной баги: винда, локаль, cgi.
"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено Аноним , 07-Июн-24 13:52 
https://seditio.org/dev/denwer-php-8-1-16-plus-mysql-5-7-15-...
"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено noc101 , 07-Июн-24 21:03 
> https://seditio.org/dev/denwer-php-8-1-16-plus-mysql-5-7-15-...

Когдато мы дождемся Денвер 4...

"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено нах. , 08-Июн-24 13:28 
> https://seditio.org/dev/denwer-php-8-1-16-plus-mysql-5-7-15-...

передай им что мыскль5 уже немодно и я его не буду им ставить - хоть режьте!

А на восьмом их кривой дамп разумеется даже и не сымпортится.

И вообще главный велел переходить на постгрезпро.
Так что выбрасывайте уже свою любимую windowsXP и переходите на дисяточку с wsl, как у всех разработчиков-под-линoops (хреновых, у хороших-то мак, но они вряд ли на пыхе лабают).


"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено Аноним , 07-Июн-24 13:40 
wsl2
"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено noc101 , 07-Июн-24 18:44 
на винде только обучаться. И то только по началу.
В целом разработка ведется на Линуксе.
Банально проще и быстрей поднять виртуалку и настроить ЛАМПу, чем на винде с этим сношаться.
А потом словить кучу ОС-е зависимых ошибок при переезде.

Веб на винде это глупость, даже для разработки.

"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено Аноним , 08-Июн-24 02:18 
> В целом разработка ведется на Линуксе.

Нынче ставить Linux для кодинга вообще не имеет никакого смысла. И нет никого, кто бы мог доказать обратное. Так что глупость пишете именно Вы! Видимо, ваша "винда" - это какая-то XP из 2007 года.

> Банально проще и быстрей поднять виртуалку и настроить ЛАМПу

Ух... сразу видно - пишет ностоящий экспepт!

"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено JackONeill , 08-Июн-24 12:42 
Мощно задвинул. Этому больше не наливать.
"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено JackONeill , 08-Июн-24 12:58 
А на чем нынче надо кодить? Где есть смысл?
"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено noc101 , 08-Июн-24 13:07 
> А на чем нынче надо кодить? Где есть смысл?

Он наверное пользуется WSL ))

"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено noc101 , 08-Июн-24 13:10 
>> В целом разработка ведется на Линуксе.
> Нынче ставить Linux для кодинга вообще не имеет никакого смысла. И нет
> никого, кто бы мог доказать обратное. Так что глупость пишете именно
> Вы! Видимо, ваша "винда" - это какая-то XP из 2007 года.

Тут без комментариев, сразу видно ты про WSL, ну то есть линукс на винде.
Неуч блин))

>> Банально проще и быстрей поднять виртуалку и настроить ЛАМПу
> Ух... сразу видно - пишет ностоящий экспepт!

Развернуть лампу от загрузки образа до запуска сайта, примерно 30 минут.
Это установка ОСи, первичная настройка ОСи, установка и настройка Лампы.

Если есть гипервизор, то минут 20 от силы.
Но ты эксперт продолжай позорится.

"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено Аноним , 08-Июн-24 13:28 
Соглашусь. Даже wsl смысла не имеет. Тут либо нужно быть кoнчeнным фaнатиком, чтобы ставить линпyкc для "разработки" либо просто дeбилoм (как cтaдо отписавшихся выше).
"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено нах. , 08-Июн-24 15:21 
> Соглашусь. Даже wsl смысла не имеет.

конечно не имеет  - как ты его на новый m2й макбучек вообще поставишь-то?!

"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено JackONeill , 08-Июн-24 15:33 
Жесть) у меня слов нет))) что вы несете?)))))
"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено noc101 , 08-Июн-24 18:35 
> Соглашусь. Даже wsl смысла не имеет. Тут либо нужно быть кoнчeнным фaнатиком,
> чтобы ставить линпyкc для "разработки" либо просто дeбилoм (как cтaдо отписавшихся
> выше).

Надо быть не фанатиком, а профессионалом) Но я понимаю, для "разработки" в CMS линукс не нужен, сиди себе галочки расставляй. Какой тут линукс))

"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено Tron is Whistling , 07-Июн-24 12:00 
Так это не в PHP уЁзвимость, а в винде.
"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено noc101 , 07-Июн-24 18:45 
Нет. Это уязвимость в РНР. Так как без РНР нет уязвимости в винде.
"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено Tron is Whistling , 08-Июн-24 10:36 
Точнее - без винды нет уязвимости в PHP.
"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено Tron is Whistling , 07-Июн-24 12:01 
Какой бибип додумался прочерки из локалей конвертить в минус в командной строке, интересно...
"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено Аноним , 07-Июн-24 12:43 
Винда... cgi... PHP... 2024-й... в этой мультивселенной ход истории пошел иначе.
"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено Сисян , 07-Июн-24 13:18 
Действительно. Ведь для комментирования опеннета тебе кроме браузера больше ничего не нужно!
"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено Аноним , 07-Июн-24 13:54 
>PHP в режиме CGI на платформе Windows
>Проблема проявляется в конфигурации по умолчанию в наборе XAMPP

Понижали планку вхождения в веб разработку - допонижались...

"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено Аноним , 07-Июн-24 15:21 
я не согласен! есть ещё перспективы для обратного роста!
"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено Аноним , 09-Июн-24 19:52 
> Понижали планку вхождения в веб разработку - допонижались...

Видел как-то давно студня, он читал книгу "программирование на PHP" на лекции. Соседи спрашивали - что за рэ-нэ-рэ такое?! :)). Ну, вот, глядишь им тоже захотелось - а вместо чтения книги поди лектора слушали, с какой там очень полезной и нужной по жизни лабудой.

"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено Аноним , 07-Июн-24 13:42 
cgi в php - это вообще код времен года этак 2002-го, с пачкой костылей для вебсерверов тех времён, который не выбрасывают просто потому что до сих пор есть странные личности, которые этим пользуются.

Лучше это вообще не трогать

"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено YetAnotherOnanym , 07-Июн-24 17:17 
Ничего странного - у кого-то банкинг на Коболе, у кого-то станок с ЧПУ на ДОС 6.22, а у кого-то сайт на Апач+ПХП.
"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено Аноним , 07-Июн-24 17:21 
> а у кого-то сайт на Апач+ПХП

У 90% вэба. Да.

"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено нах. , 07-Июн-24 20:06 
но ведь мыж его прикрыли nginx'иком, разьве ж не?!
Еще в 2021м!

"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено Аноним , 08-Июн-24 06:38 
Например зачем? Нжинкс типа нжинкс ускоряет Апач? Шапочки из фольги?
"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено YetAnotherOnanym , 08-Июн-24 10:52 
Для SSL-offload, например.
"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено нах. , 08-Июн-24 13:14 
> Например зачем? Нжинкс типа нжинкс ускоряет Апач? Шапочки из фольги?

Двойной!

"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено noc101 , 07-Июн-24 18:49 
Обосрался и сидит довольный)

На 2020 год в глобальной сети наибольшей популярностью пользуются серверы:

Apache (40.89%)
Nginx (23.77%)
IIS (16.45%)
LiteSpeed (1.96%)
Apache Traffic Server (0.55%)
OpenGSE (0.42%)
Phusion Passenger (0.40%)
Apache Tomcat (0.19%)
Tengine (0.14%)
lighttpd (0.14%)

И сегодня PHP используется почти в 78% всех сайтов

"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено Самый Лучший Гусь , 07-Июн-24 19:24 
> IIS (16.45%)

Вот это насотоящее извращение. Зачем так жить вобще?

"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено Аноним , 07-Июн-24 19:35 
Вроде там чуть ли не половина - это какой-то крупный паркинг доменов
"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено Аноним , 09-Июн-24 19:54 
> Вроде там чуть ли не половина - это какой-то крупный паркинг доменов

Годядик еще не выкинул эту хрень? Но если что - у нормальных мониторилок заявились штуки типа "active sites" чтобы отличать паркинги от всего остального. И, конечно, там IIS где-то в придонном иле болтается.

"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено Nonim , 07-Июн-24 20:52 
Внезапно, но на Западе винда в качестве веб сервера далеко не редкость.
"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено Аноним , 07-Июн-24 20:55 
В основном крупные корпоративные помойки, и им аспнет нужен. Как сервер он конечно достаточно поганый, вся венда не подходит для таких задач.
"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено Аноним , 07-Июн-24 21:00 
Внезапно сайт стековепфлоу на винде.
"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено Аноним , 07-Июн-24 22:32 
Если он у них на ASP.NET, это вовсе не значит, что крутит его винда.
"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено Аноним , 07-Июн-24 23:24 
Нет, он именно что на винде. Спольски про это писал неоднократно, с цифрами. Фанатам опенсорса пригорает, но за ответами всё равно на стэковерфлоу бегают, стыд глаза не ест.
"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено Аноним , 08-Июн-24 00:24 
> за ответами всё равно на стэковерфлоу бегают

Уже давно нет. Нейросети убили стэковерфлоу. Ты можешь копротивляться, но факт штука упрямая.

"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено Аноним , 08-Июн-24 06:24 
Только в твоём воображении. Многие работодатели прямо запрещают использовать нейросети из-за лицензионных и прочих вопросов.  
"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено нах. , 08-Июн-24 13:19 
> Только в твоём воображении. Многие работодатели прямо запрещают использовать нейросети
> из-за лицензионных и прочих вопросов.

моргни, если тебя даже в шаббат не отковывают от стойки!


"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено Аноним , 08-Июн-24 13:30 
> Многие работодатели прямо требуют умение пользоваться llm для кодинга

Фиксанул не благодари.

"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено нах. , 08-Июн-24 13:15 
>> за ответами всё равно на стэковерфлоу бегают
> Уже давно нет. Нейросети убили стэковерфлоу.

теперь на него за ответами тебе бегает недосеть... или как там ее?

> Ты можешь копротивляться, но факт штука упрямая.

факт в том что недосети не имеют разума. И просто цитируют тебе большими кусками мусор найденый ими в интернете.

Который ты и сам бы мог найти, если бы имел разум. Но в этом ты уже с ними почти сравнялся.

"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено Аноним , 08-Июн-24 13:32 
Ты можешь ещё долго сопротивляться, но таких как ты увольняют пачками. Только в нашей компании автоматизировали за прошлый год 12 джунов и 4 мидлов.
"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено нах. , 08-Июн-24 15:12 
нет, глупенький - это таких как ты увольняют пачками. А я за свое будущее совершенно спокоен, умение быстропогуглить в мои необходимые скиллы вообще не входит (потому что не поможет)

Что там кстати про уборщиц, давно не слышал. А то ж любимый анекдот вспомнился... теперь вот про твоих мидлов с сеньорами будут его видимо рассказывать.


"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено Бывалый Смузихлёб , 08-Июн-24 08:09 
проблема штук вроде переполнения стека в том, что ответов на реально серьёзные вопросы и проблемы там почти никогда нет. Зато есть куча бесполезного мусора и целая гора сайтов, копирующих содержимое и самих тем и заголовков
"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено нах. , 08-Июн-24 13:19 
> проблема штук вроде переполнения стека в том, что ответов на реально серьёзные
> вопросы и проблемы там почти никогда нет.

просто некогда, некогда читать ответы, эджайл не ждет! Вон прямо из вопроса скопируй, че ты как этотвот, не важно что вопрос был "почему оно не работает" - может у тебя-то и заработает даже.

Недосети тоже самое кстати и делают. И контингент опеннета тоже.

Ну а если ты двадцать раз переформулировал поисковый запрос, и на 21 получил свой же вопрос заданный на мертвом форуме пять лет назад - поздравляю, ты редкостный невезунчик и напоролся на реальную проблему не имеющую решения. Пиши три конверта.

"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено Бывалый Смузихлёб , 10-Июн-24 16:48 
> Пиши три конверта

Может, сразу на гербовой ?


"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено noc101 , 07-Июн-24 21:00 
>> IIS (16.45%)
> Вот это насотоящее извращение. Зачем так жить вобще?

Хотел бы я сказать, что не знаю.
Но я лять знаю... Не могу сказать за весь мир. Но у нас в СНГ, IIS используется часто для 1С.
1С работает через него.
Можно и через апач, но это геморрой. С ИИС тоже геморрой, но меньше чем с апачем и линухом.
Какая же это боль. Кто придумал ИИС должен гореть в аду на отдельной кочерге.

"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено Аноним , 08-Июн-24 06:27 
1С итак не на винде относительно недавно. Так что винда платформа номер 1, тогда выбор ИИС вполне разумен.
"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено Бывалый Смузихлёб , 08-Июн-24 08:11 
Ну а где ИИС - там и МС СКЛ Сервер и прочие, обычно платные, радости
"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено нах. , 08-Июн-24 13:21 
> Ну а где ИИС - там и МС СКЛ Сервер и прочие,
> обычно платные, радости

не завидуй, тебе в зарплату эти деньги перевести невозможно никак, вообще никаким образом, в принципе

(к тому же эти копейки тебя не спасут)

"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено Бывалый Смузихлёб , 10-Июн-24 16:43 
Ну там не сильно то и копейки были, хотя к счастью, от всего этого я вовремя отошёл
Но, не завидую. Даже наоборот. Всегда виделось нелепым такие горы бабла просаживать вникуда
"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено нах. , 10-Июн-24 18:31 
копейки, копейки. Ты просто вспомни что это разово, а тебе и тому вот дол6... твоему приятелю аванс, зарплату и премию по итогам года давай. А с них еще столько же - налогов. А те вот - наоборот, с налога частично списываются.

"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено Аноним , 07-Июн-24 21:01 
Где эти свидетелей что нет уязвимости пока не найдены сырцы? Их уже протроянили насквозь через пыху?
"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено Аноним , 07-Июн-24 23:23 
> в случае использования PHP в режиме CGI на платформе Windows

Предлагаю объявить это фичой - ремотное управление системой :). И конечно не чинить ни в коем разе. Зачем CVE юзерам винды? Они им похрен.

"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено Аноним , 08-Июн-24 11:26 
php это самый безопасный язык. Банально дело в арифметике: количество задействованных ресурсов на поиск и устранение уязвимостей тут находится на уровне, совершенно недоступном другим языкам программирования.
"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено Kuromi , 08-Июн-24 18:07 
"Уязвимость подтверждена в конфигурациях с локалями для традиционного китайского (cp950), упрощённого китайского (cp936) и японского (cp932) языков"

Ох уж эти иероглифы...

"Уязвимость в PHP, позволяющая выполнить код при работе в реж..."
Отправлено Ilya Indigo , 12-Июн-24 16:35 
У меня 15 лет стажа, а я даже не знаю как PHP в CGI-режиме использовать,
что это такое и нафиг оно вообще нужно, когда есть CLI и FPM (FastCGI)?