English | VPS常用软件下载 |
  • 美国VPS主机推荐
  • |
  • 代购服务
  • |
  • 10美元以下VPS
  • |
  • VPS新手指南/教程
  • |
  • 留言板
  • |
  • 关于VPSer
  • | VPS论坛 | 登录 |

    请各位lnmp用户检查php pathinfo设置!重要!

    2011年06月9日 上午 | 作者:

    由于脚本编写时出错导致可能存在pathinfo漏洞,请所有lnmp用户检查一下php的pathinfo设置!!!

    编辑/usr/local/php/etc/php.ini 文件,搜索 cgi.fix_pathinfo ,如果cgi.fix_pathinfo 该行为 ; cgi.fix_pathinfo=0 请修改为 cgi.fix_pathinfo=0
    或直接执行:sed -i 's/; cgi.fix_pathinfo=0/cgi.fix_pathinfo=0/g' /usr/local/php/etc/php.ini

    再执行:/usr/local/php/sbin/php-fpm restart重启

    如果是cgi.fix_pathinfo=0则没问题,不需要修改。
    请各位lnmp用户检查一下,防止pathinfo漏洞给网站或服务器带来安全隐患。

    安装包文件都已经更新。
    2011.6.9,9:30分以后下载安装的脚本里已解决此问题。

    感谢lnmp用户的反馈,感谢各位对lnmp的支持。

    nginx文件类型错误解析漏洞

    2010年05月21日 上午 | 作者:

    漏洞介绍:nginx是一款高性能的web服务器,使用非常广泛,其不仅经常被用作反向代理,也可以非常好的支持PHP的运行。80sec发现 其中存在一个较为严重的安全问题,默认情况下可能导致服务器错误的将任何类型的文件以PHP的方式进行解析,这将导致严重的安全问题,使得恶意的攻击者可 能攻陷支持php的nginx服务器。
    漏洞分析:nginx默认以cgi的方式支持php的运行,譬如在配置文件当中可以以


    location ~ \.php$ {
    root html;
    fastcgi_pass 127.0.0.1:9000;
    fastcgi_index index.php;
    fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name;
    include fastcgi_params;
    }
    查看全文 »