请各位lnmp用户检查php pathinfo设置!重要!
由于脚本编写时出错导致可能存在pathinfo漏洞,请所有lnmp用户检查一下php的pathinfo设置!!!
编辑/usr/local/php/etc/php.ini 文件,搜索 cgi.fix_pathinfo ,如果cgi.fix_pathinfo 该行为 ; cgi.fix_pathinfo=0 请修改为 cgi.fix_pathinfo=0
或直接执行:sed -i 's/; cgi.fix_pathinfo=0/cgi.fix_pathinfo=0/g' /usr/local/php/etc/php.ini
再执行:/usr/local/php/sbin/php-fpm restart重启
如果是cgi.fix_pathinfo=0则没问题,不需要修改。
请各位lnmp用户检查一下,防止pathinfo漏洞给网站或服务器带来安全隐患。
安装包文件都已经更新。
2011.6.9,9:30分以后下载安装的脚本里已解决此问题。
感谢lnmp用户的反馈,感谢各位对lnmp的支持。
>>转载请注明出处:VPS侦探 本文链接地址:https://www.vpser.net/security/lnmp-php-pathinfo.html
@zxc, 明天我写个教程吧。
@小七, 是的。
军哥 你的 意思是 如果该代码前有分号的把它去掉就可以了 ?
关闭了这个的话
nginx的伪静态就不行了吧 比如Thinkphp的URL模式,它需要pathinfo的信息。
什么时候出控制面板和监控啊
0.6默认的倒没这个问题
军哥,请问如何在nginx里将上传目录的php解析去掉,这样即使上传了php木马也无法执行。请指教,万分感谢!
@zxc, 可以在nginx里将上传目录的php解析去掉,这样即使上传了php木马也无法执行。
@redsky, 脚本是自动判断php版本的,可能版本判断错误就会产生路径错误。
我需要对THINKPHP框架的PATHINFO支持,所以安装LNMP完就把cgi.fix_pathinfo=1了,这样不会有安全隐患吧?
lnmap 的eAccelerator 不支持 要手动改路径 这个问题是怎么回事啊
@lxfy, 这个目前不清楚
@magic,前面还有个分号和空格。
hostloc是因为这个原因被黑的么?
cgi.fix_pathinfo=0 请修改为 cgi.fix_pathinfo=0 ??????
笔误还是我看错了?
谢谢军哥,