Forum d'entraide PHPFrance

Pour ceux qui ne l'auraient pas vu passer:
https://bugs.php.net/bug.php?id=61910
http://eindbazen.net/2012/05/php-cgi-ad ... 2012-1823/

Cette faille permet, entre autre, à l'attaquant de forcer l'affichage du code!

Commentaire de PHP:

SOLUTION
We are currently unaware of a practical solution to this problem.

A vos patch!

Patch rapide: mod_rewrite Ou mieux: mod_security http://blog.spiderlabs.com/2012/05/hone ... -vuln.html

Korben décrit la faille ici :
http://korben.info/php-cgi-une-faille-d ... s-php.html


Des nouvelles versions de PHP 5.3.12 et PHP 5.4.2 ont été releasées pour corriger le bug :
http://www.php.net/archive/2012.php#id2012-05-03-1

Pour ceux qui sont sur PHP 5.2.x, vu que cette version n'est plus maintenue et que la faille est aussi présente dans cette version,
Celeonet met à disposition un patch si vous ne pouvez pas passer en 5.3 ou 5.4 : http://www.blog-celeo.com/2012/05/04/ph ... -securite/

Et pour ceux qui veulent hacker Facebook :
https://www.facebook.com/?-s

Et pour ceux qui veulent hacker Facebook :
https://www.facebook.com/?-s

C'est un pot de miel pour recruter un WH hacker. Si on suit lien, bien sûr...

Pas de panique tout de même. Qui tourne en CGI ici?

Je suis pas expert là dedans. Donc j'ai tenté sur mon hébergement.
Aucun problème, donc soit CGI pas activé, soit la réécriture d'url actuelle masque la vulnérabilité.

Et même si on est en CGI faut une conf particulière qui personne n'utilise

Pareil, j'ai tenté sur 2 de mes hébergements, RAS.
D'un autre coté pas sur d'avoir tout compris

Sinon sympa l’idée de FB.

Enfaite c'est le cas tu configures ton CGI pour passer les variables d'URL en argument au CGI, donc forcement si tu fais /index.php?-s, le cgi fera php index.php -s, donc une conf assez particulière