当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2011-03089

漏洞标题:新浪云SAE环境配置不当

相关厂商:新浪

漏洞作者: blue

提交时间:2011-10-23 16:20

修复时间:2011-10-24 10:07

公开时间:2011-10-24 10:07

漏洞类型:系统/服务运维配置不当

危害等级:高

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2011-10-23: 细节已通知厂商并且等待厂商处理中
2011-10-24: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

默认magic_quotes_gpc为off,很可能会扩大程序的安全隐患,一般的开源程序和程序员在这种环境下基本毫无安全性可言。
另外阿里的社区云默认配置也是off。

详细说明:


在设计给开发人员使用的平台的时候,是不是应该考虑得更多一些?

漏洞证明:

修复方案:

修改状态为On,或提醒开发者注意此点。

版权声明:转载请注明来源 blue@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2011-10-24 10:07

厂商回复:

PHP5.4在今年年底release是铁定的了,目前已经发布了beta1。而php5.4以及未来php6,magic_quotes_gpc是关闭的,这可以通过get_magic_quotes_gpc()返回false得知。 所以从SAE平台未来的发展看,禁用该选项是有益的。这也就需要php开发者以后不要依赖magic_quotes_gpc,而是自己主动做输入过滤。
这特性已经进入废弃列表,没有任何理由开启它。如果你的程序对它有依赖,请记得检测RunTime环境。写程序不看环境的程序员总有一天会被自己害死的,什么平台都一样。

最新状态:

2011-10-24:这特性已经进入废弃列表,没有任何理由开启它。如果你的程序对它有依赖,请记得检测RunTime环境。写程序不看环境的程序员总有一天会被自己害死的,什么平台都一样。这特性已经进入废弃列表,没有任何理由开启它。如果你的程序对它有依赖,请记得检测RunTime环境。写程序不看环境的程序员总有一天会被自己害死的,什么平台都一样。http://cn.php.net/manual/en/security.magicquotes.what.php


漏洞评价:

评论

  1. 2011-10-24 11:00 | blue 认证白帽子 ( 普通白帽子 | Rank:779 漏洞数:70 | 我心中有猛虎,细嗅蔷薇。)

    "写程序不看环境的程序员总有一天会被自己害死的",说得真好,这些程序员,会因为使用新浪平台而死得更快的。不知道新浪平台的牛人们,能不能为"以前的自己"着想一下?

  2. 2012-02-19 16:10 | blue 认证白帽子 ( 普通白帽子 | Rank:779 漏洞数:70 | 我心中有猛虎,细嗅蔷薇。)

    ...