PHP tarjimonida disable_functions direktivasi va php.ini'dagi boshqa sozlamalar yordamida belgilangan cheklovlarni chetlab o'tish usuli chop etildi. Eslatib o'tamiz, disable_functions direktivasi skriptlarda ma'lum ichki funktsiyalardan foydalanishni taqiqlash imkonini beradi, masalan, tashqi dasturlarga qo'ng'iroqlarni bloklash uchun "tizim, exec, passthru, popen, proc_open va shell_exec" ni o'chirib qo'yishingiz yoki taqiqlash uchun fopenni o'chirib qo'yishingiz mumkin. fayllarni ochish.
Shunisi e'tiborga loyiqki, taklif qilingan ekspluatatsiya PHP ishlab chiquvchilariga 10 yildan ko'proq vaqt oldin xabar qilingan zaiflikdan foydalanadi, ammo ular buni xavfsizlikka ta'sir qilmaydigan kichik muammo deb hisoblashdi. Taklif etilayotgan hujum usuli jarayon xotirasidagi parametrlar qiymatlarini o‘zgartirishga asoslangan va PHP 7.0 dan boshlab barcha joriy PHP relizlarida ishlaydi (hujum PHP 5.x da ham mumkin, ammo bu ekspluatatsiyani o‘zgartirishni talab qiladi) . Ekspluatatsiya PHP bilan Debian, Ubuntu, CentOS va FreeBSD ning turli konfiguratsiyalarida cli, fpm va apache2 moduli ko'rinishida sinovdan o'tkazildi.
Manba: opennet.ru