Ġie ppubblikat metodu biex jinqabeż fl-interpretu PHP ir-restrizzjonijiet speċifikati bl-użu tad-direttiva disable_functions u settings oħra f'php.ini. Ejja nfakkru li d-direttiva disable_functions tagħmilha possibbli li jiġi pprojbit l-użu ta’ ċerti funzjonijiet interni fi skripts, pereżempju, tista’ tiddiżattiva “system, exec, passthru, popen, proc_open u shell_exec” biex timblokka sejħiet għal programmi esterni jew fopen biex tipprojbixxi fajls tal-ftuħ.
Ta' min jinnota li l-isfruttament propost jisfrutta vulnerabbiltà li ġiet irrappurtata lill-iżviluppaturi tal-PHP aktar minn 10 snin ilu, iżda kienet meqjusa bħala kwistjoni minuri mingħajr implikazzjonijiet għas-sigurtà. Il-metodu ta' attakk propost jiddependi fuq il-modifika tal-valuri tal-parametri fil-memorja tal-proċess u jaħdem fir-rilaxxi attwali kollha tal-PHP, li jibdew bil-PHP 7.0 (l-attakk huwa possibbli wkoll fuq PHP 5.x, iżda jeħtieġ modifiki għall-isfruttament). L-isfruttament ġie ttestjat f'diversi konfigurazzjonijiet. Debian, Ubuntu, CentOS u FreeBSD bil-PHP fil-forma ta' cli, fpm u modulu għal apache2.
Sors: opennet.ru
