Ġie ppubblikat metodu biex jinqabeż fl-interpretu PHP ir-restrizzjonijiet speċifikati bl-użu tad-direttiva disable_functions u settings oħra f'php.ini. Ejja nfakkru li d-direttiva disable_functions tagħmilha possibbli li jiġi pprojbit l-użu ta’ ċerti funzjonijiet interni fi skripts, pereżempju, tista’ tiddiżattiva “system, exec, passthru, popen, proc_open u shell_exec” biex timblokka sejħiet għal programmi esterni jew fopen biex tipprojbixxi fajls tal-ftuħ.
Ta 'min jinnota li l-isfruttament propost juża vulnerabbiltà li ġiet irrappurtata lill-iżviluppaturi PHP aktar minn 10 snin ilu, iżda huma qiesuha problema minuri mingħajr impatt fuq is-sigurtà. Il-metodu ta 'attakk propost huwa bbażat fuq it-tibdil tal-valuri tal-parametri fil-memorja tal-proċess u jaħdem fir-rilaxxi PHP kurrenti kollha, li jibda minn PHP 7.0 (l-attakk huwa possibbli wkoll fuq PHP 5.x, iżda dan jeħtieġ bidliet fl-isfruttament) . L-isfruttament ġie ttestjat fuq diversi konfigurazzjonijiet ta 'Debian, Ubuntu, CentOS u FreeBSD b'PHP fil-forma ta' cli, fpm u modulu għal apache2.
Sors: opennet.ru