Jedna z dlouhé řady. Za poslední čtvrtrok předvedl vývojový tym PHP dva neuvěřitelné kotrmelce, když po vydání nové verze museli během velice krátké doby vydat další verzi, která opravovala kritické bezpečnostní chyby (ano, šlo o verze 5.1.4 a 5.1.6). Teď tu máme další chybu v ini_restore, která dovoluje resetovat nastavení safe_mode a open_basedir na hodnoty uvedené v php.ini. Tzn. pokud pro určitý adresář vypnete v httpd.conf safe_mode a místo toho mu nastavíte open_basedir, tak stačí jednoduše resetovat open_basedir a….. Happy browsing.
Tyhle dvě „bezpečnostní“ direktivy jsou ve skutečnosti tak nebezpečné, až to bolí – chyby ve funkcích, které ignorují jejich nastavení jsou na denním pořádku. Zabezpečovat PHP je pro správce sdílených serverů bezkonkurenčně největší opruz.

Originální bug a jedna česká zmínka o chybě.

Zanechej komentář

K zanechání komentáře ke článku musíte být přihlášen. Přihlásit »