PHP интерпретаторунда disable_functions директивасы жана php.iniдеги башка орнотуулар аркылуу көрсөтүлгөн чектөөлөрдү айланып өтүү ыкмасы жарыяланды. Эске сала кетсек, disable_functions директивасы скрипттерде айрым ички функцияларды колдонууга тыюу салууга мүмкүндүк берет, мисалы, тышкы программаларга чалууларды бөгөттөө үчүн "система, exec, passthru, popen, proc_open жана shell_exec" өчүрө аласыз же тыюу салуу үчүн fopen файлдарды ачуу.
Белгилей кетчү нерсе, сунушталган эксплуатация PHP иштеп чыгуучуларына 10 жылдан ашык мурда билдирилген кемчиликти колдонот, бирок алар аны коопсуздукка эч кандай таасир тийгизбеген кичинекей көйгөй деп эсептешкен. Сунушталган чабуул ыкмасы процесстин эс тутумундагы параметрлердин маанилерин өзгөртүүгө негизделген жана PHP 7.0ден баштап бардык учурдагы PHP релиздеринде иштейт (чабуул PHP 5.xте да мүмкүн, бирок бул эксплуатацияны өзгөртүүнү талап кылат) . Эксплуатация Debian, Ubuntu, CentOS жана FreeBSDдин ар кандай конфигурацияларында PHP менен cli, fpm жана apache2 үчүн модуль түрүндө сыналган.
Source: opennet.ru