Pull to refresh

Comments 22

Хм, как раз есть один такой сайтик работающий через CGI. Протестил, но этот запрос не производит на сайт никакого впечатления. У кого-то воспроизводится?
да. открывал содержимое конфига вордпресса этим методом. смотрелось угрожающе, но на практике рандомным поиском по гуглу ни один из выбранных сайтов не был подвержен этой уязвимости
Поиграйтесь с сайтами на хостинге РБК. Правда тамошние админы знают и думаю за сутки должны уже были залатать.
Это, конечно, просто поэзия, человек писал с вдохновением. Абзац про баг в багтрекере выдавил скупую мужскую слезу…
Ага, забавный баг (или бэкдор?), у нас как раз cgi на главной. К счастью, никаких паролей не видно. Помогает переключение на fastcgi.
Кстати, Фэйсбук показывает вакансию инженера по безопасности, если спросить у него -s.
Большое количество сайтов запускают PHP или как модуль Apache через mod_php, или с помощью PHP-FPM под Nginx. Ни один из этих способов не уязвим к этом.


и тут же

Если вы используете Apache mod_cgi для запуска PHP, то вы можете быть уязвимы.


это что бы подлить масла в огонь?
Я буду обновлять страницу перед отправкой комментария.
Я буду обновлять страницу перед отправкой комментария…
достаточно воспользоваться той классной зеленой штукой справа, правда.
А PHP FastCGI под IIS этим багом страдает?
FastCGI не подвержен — там ключей не бывает.
Это удаленно выполнение команд, и это весело %)
Поддерживаете стиль изложение статьи?
На моем вордресном блоге на hc.ru появляется исходный код, вчера еще отписал им в суппорт.

Обратите внимание, что возможно использование и других команд, например или -d
Причем -d — это ваще жесть — фактически remote exploit через auto_prepend_file.
UFO just landed and posted this here
UFO just landed and posted this here
Only those users with full accounts are able to leave comments. Log in, please.

Articles