PHP interpretean disable_functions zuzentaraua eta php.ini-ko beste ezarpen batzuk erabiliz zehaztutako murrizketak saihesteko metodo bat argitaratu da. Gogora dezagun disable_functions direktibak scriptetan barne-funtzio batzuen erabilera debekatzea ahalbidetzen duela; adibidez, "system, exec, passthru, popen, proc_open eta shell_exec" desgaitu ditzakezu kanpoko programetarako deiak blokeatzeko edo fopen debekatzeko. fitxategiak irekitzea.
Azpimarratzekoa da proposatutako esplotazioak duela 10 urte baino gehiago PHP garatzaileei jakinarazi zieten ahultasun bat erabiltzen duela, baina segurtasun eraginik gabeko arazo txikitzat jo dute. Proposatutako eraso-metodoa prozesuko memorian parametroen balioak aldatzean oinarritzen da eta egungo PHP bertsio guztietan funtzionatzen du, PHP 7.0-tik hasita (erasoa PHP 5.x-en ere posible da, baina ustiapenean aldaketak behar ditu) . Explotazioa Debian, Ubuntu, CentOS eta FreeBSD PHP-ren hainbat konfiguraziotan probatu da, cli, fpm eta apache2-rako modulu moduan.
Iturria: opennet.ru