Місяць багів в PHP: день перший
20:47 01.03.2007Пішла жара… розпочався Month of PHP Bugs , як повідомив сьогодні Стефан Ессер. Про даний проект я згадував учора - Місяць багів в PHP, котрим був обраний березень - це новий проект, мета якого публікація інформації про діри в безпеці PHP.
Як повідомляється на офіційному сайті проекту в перший день, як раз при відкритті цього проекту, було повідомлено про три уразливості в PHP.
- PHP 4 Userland ZVAL Reference Counter Overflow Vulnerability (деталі), експлоіт: MOPB-01-2007.php
- PHP Executor Deep Recursion Stack Overflow (деталі)
- PHP Variable Destructor Deep Recursion Stack Overflow (деталі)
Тому перший день Місяця багів в PHP видався жарким , подивимося що приготував нам Стефан на завтра.
П'ятниця, 00:00 02.03.2007
Бляяяя, він ше й сплойти викладає одразу. Оце задниця….
Це ризикує перетворитися на “пів року геморою” ги ги
П'ятниця, 21:17 02.03.2007
Так, і описи багів і експлоіти для них. Так що всім буде весело і спекотно
.
Місяць вийде напруженим і доволі спекотним, особливо для розробників PHP. Ось почитай про другий день Місяця багів в PHP.
Понеділок, 15:11 05.03.2007
Перші жертви МБП
phpMyAdmin 2.10.0.2 is released
The “Month Of PHP Bugs” reveals some PHP vulnerabilities. MOPB-02-2007
(PHP Executor Deep Recursion Stack Overflow) uses phpMyAdmin as an example to show a recursion vulnerability in PHP, for which a workaround is provided in version 2.10.0.2.
Маєш ще якісь подібні відомості?
Понеділок, 19:07 26.03.2007
trovich, з приводу жертв МБП
Як я вже тобі повідомляв з початку місяця я був без нормального доступу в інтернет, тому за новинами сильно можливості не мав стежити - лише встигав накопичувати новини, але не обробляти (та вже давно я настільки зайнятий, що не встигаю всі секюріті новини обробляти в реальному часі, настільки їх багато і цей потік тільки збільшується).
Добре, що я вже нарешті маю нормальний доступ в інет (з суботи) - змінив провайдера. Тому і новини буду більш оперативно обробляти. Зараз працюю на повну силу.
Але одну подібну новину я маю (ще з початку місяця): це уразливість в mod_security, яка призводить до обходу фільтрів (причому як в PHP, так і в інших мовах). Про це можеш довідатися з останнього посту в блозі Стефана (після чого він його тимчасово закрив), в записі mod_security POST Rules Bypass Vulnerability на сайті MOPB. А також можеш прочитати відповідь модсекюрівців.
З цього приводу я написав в пості про Місяць багів в PHP. Так як Стефан торкнувся теми, над якою я і сам давно працюю. Тому це він не дуже в тему опублікував цей бонусний баг
(проте чим більше досліджень та метеріалів, тим краще). Матеріал від мене на тему обходу фільтрів в mod_security очікується.