Eng Method gouf publizéiert fir am PHP Dolmetscher d'Restriktioune mat der Disable_functions Direktiv an aner Astellungen an php.ini ze spezifizéieren. Loosst eis drun erënneren datt d'Disable_functions Direktiv et méiglech mécht d'Benotzung vu bestëmmten internen Funktiounen an Scripten ze verbidden, zum Beispill kënnt Dir "System, exec, passthru, popen, proc_open an shell_exec" auszeschalten fir Uruff un extern Programmer ze blockéieren oder fopen ze verbidden Dateien opmaachen.
Et ass bemierkenswäert datt de proposéierten Ausbeutung eng Schwachstelle benotzt déi PHP Entwéckler méi wéi 10 Joer gemellt huet, awer si hunn et als e klenge Problem ouni Sécherheetsimpakt ugesinn. Déi proposéiert Attackmethod baséiert op der Ännerung vun de Wäerter vun de Parameteren am Prozesser Erënnerung a funktionnéiert an all aktuell PHP Verëffentlechungen, ugefaange mat PHP 7.0 (den Attack ass och méiglech op PHP 5.x, awer dëst erfuerdert Ännerunge vum Exploit) . Den Exploit gouf op verschiddene Konfiguratiounen vun Debian, Ubuntu, CentOS a FreeBSD mat PHP a Form vun engem Cli, fpm an engem Modul fir Apache2 getest.
Source: opennet.ru