[ Divine @ 26.07.2002. 12:02 ] @
http://www.php.net/release_4_2_2.php

The PHP Group has learned of a serious security vulnerability in PHP versions 4.2.0 and 4.2.1. An intruder may be able to execute arbitrary code with the privileges of the web server. This vulnerability may be exploited to compromise the web server and, under certain conditions, to gain privileged access!
[ Goran Rakić @ 26.07.2002. 15:58 ] @
A na Apache-u je to obicno nobody, ili ja ne vidim neki mnogo veci problem
[ B o j a n @ 26.07.2002. 16:26 ] @
Pa ako je nobody, to ne znači i bukvalno da niko ne trči apache. Svaki non-root user je isti gledano sa strane kernela, pa prema tome, ovaj bug je i te kako opasan.
[ -zombie- @ 27.07.2002. 03:36 ] @
dobro bre ljudi, nemojte da plasite one koji manje znaju od vas... ili bar, ako ocete necemu korisnom da ih naucite, plasite ih sa stvarno opasnim stvarima...

ovaj bug je (relativno) tesko iskoristiti, a i kada se iskoristi, "samo pod odredjenim uslovima" se moze upotrebiti za dobijanje privilegovanog pristupa (uglavnom 'samo' srusi server ;)...

najveci deo rupa u php sajtovima i dalje dolazi, i dolazice josh duze vreme, od neukih korisnika koji pisu skripte...

samo jedan od dokaza je i skorasnja odluka php tima da iskljuci po defaultu register_globals, zrtvujuci time lakocu koriscenja u korist sigurnosti...

a ovakve bubice (tema) se cak i najlakse istrebljuju: instaliranjem nove verzije! a ko ce da proveri i ocisti od bubica sav kod koji su napisali neuki korisnici? niko!

i zato, nemojte ovako pompeznim naslovima da skrecete paznju manje upucenim korisnicima... bolje im lepo objasnite dobre/lose prakse u programiranju, najcesce slabe tacke php skripti etc, etc...


(just my 0.0002 euro-cents)
[ Divine @ 27.07.2002. 10:42 ] @
>.< Kada nesto ima bug ono treba da se ispravi!
Ovakav bug je moguce iskoristiti, i nije tesko... Moguce je oboriti server... Dovoljan razlog da se potrude dragi server administratori i da azuriraju server.
[ B o j a n @ 27.07.2002. 12:56 ] @
Paranoja i maštovitost čine ,,dobrog'' sys. admina L;)

Dobijanje privilegovanog ( ili bilo kakvog uopšte ) access-a je u krajnje zabrinjavajuće ... ja stvarno ne znam da li ima nekoga među vama koji kažete da to nije tako opasno, ko održava produktivni host, ali stvarno lupate gluposti.
[ -zombie- @ 29.07.2002. 01:31 ] @
niko nije tvrdio da to nije opasno, i da to ne treba ispraviti... to je bar lako uraditi (browser -> www.php.net -> download -> install -> restrart ;)

kako po mene ovo nije administratorski, vec vise programerski forum, ja sam samo rekao da ne treba toliko paranoisati (bojane, dobar recept za sys admina ;)

treba samo reci ljudima da 4.2.0 ima bug, reci im da na production serveru instaliraju 4.2.2 i vise pricati o programerskim rupama u php skriptama...

dakle, da utvrdim da ne bi rekli da sam neozbiljan:
administratori: instalirajte 4.2.2
programeri: brinite o drugim stvarima...
[ B o j a n @ 29.07.2002. 11:13 ] @
Prokleto tačno!
[ Riste Pejov @ 29.07.2002. 17:21 ] @
Stvarno ne znam sto ste digli toliko galame oko ovog bug-a.

Ako ste dobro procitali o cemu se radi, navedeno je da
se ne moze doci do izvrsavanja ikakvog koda, kad se radi
o intel platformama. Znaci da ostaje samo DoS.

Jedino je moguce izvrsiti kod na Solaris/SPARC arhitekturu,
a stvarno ne znam koliki je broj servera na Solaris/SPARC.
[ Goran Rakić @ 29.07.2002. 18:59 ] @
http://solaris.eunet.yu ?
[ random @ 30.07.2002. 12:03 ] @
Biće da se mašina na koju misliš zapravo zove SOLAIR.eunet.yu ...
[ Goran Rakić @ 30.07.2002. 15:41 ] @
;)