Názory k článku
Kritická zranitelnost v PHP pro Windows

Kdo hostuje veřejně dostupné PHP weby v XAMPPu na Windows?

Bezne to uplne nebude. Ale urcite jsou treba mensi firmy, ktere maji win server a na nem nejaky vlastni web/webovou aplikaci, s trochou stesti spis pro interni potrebu a dostupny jen v mistni siti/pres VPN, ale tech lidi, co se k tomu mohou dostat bude asi vice nez kdyz to ma nekdo na vyvojarskem pocitaci dostupne jen na localhostu.

Jinak, kdo si neklikl na odkaz, maji tam pekny obrazek :-) (neni uplne novy nebo originalni, tak tem, co znaji se omlouvam).

Ono takových instalací bude hodně, jen to nebude XAMPP ale "enterprise" aplikace splácané do jednoho monolitu. Které se na první pohled tváří jako "sofistikovaný produkt" světoznámé firmy :-)

Mozna ne primo XAMPP, ale treba takovych WAMPu bude urcite hodne.

On ten XAMPP je zminen hlavne kvuli tomu, ze ma jako vychozi nastaveni PHP-CGI (aspon tedy dle clanku, neoveroval jsem). Wamp ma Mod-PHP.

> Stačí aby php-cgi.exe bylo v adresáři, kam se dostane webserver.

1. V původním popisu jsem toto nenašel?
2. Jak? Samotná přítomnost tohoto souboru přece ještě automaticky neznamená, že jej bude server spouštět, ne? Zvlášť, když může být (podle popisu) vlastně kdekoliv.

Psali to na bleepingcomputer (ve zdroji).
V tom popisu to bude tady:

"Scenario 2: Exposing the PHP binary (also the default XAMPP configuration)

Even if PHP is not configured under the CGI mode, merely exposing the PHP executable binary in the CGI directory is affected by this vulnerability, too. Common scenarios include, but are not limited to:

Copying php.exe or php-cgi.exe to the /cgi-bin/ directory.
Exposing the PHP directory via ScriptAlias directive, such as: "

Díky za vysvětlení. Ono „exposing the PHP executable binary in the CGI directory“ už dává smysl, ale „… v adresáři, kam se dostane webserver“ mi přijde jako už moc volný překlad.

Já to pochopil tak, že když není v cgi-bin, tak si ho tam nejdříve útočník může nakopírovat a pak zneužít. Ale možná je to jinak.

Pokud útočník může něco nakopírovat do cgi-bin, pak tam může nakopírovat třeba zranitelnou verzi, nebo i úplně vlastní binárku. Potom by ale tím útokem získal jen to, co již má.

Pro me je zdeseni ze PHP 7 je mrtve a je jiz 8. A na Endore zamrzli na PHP 7.4! Ale neni se cemu divit, kdyz posledni novinku maji PF 2022.

Ocividne WebGlobe nema zajem platformu dal rozvijet a az tam nikdo nezustane, tak reknou ze o to nebyl zajem. Ze chteli pokracovat a dodrzet slib ze to nezrusi, ale kdyz je to ztratove, tak to preci nebudou dotovat.