请问军哥cgi.fix_pathinfo漏洞还存在吗?
设置cgi.fix_pathinfo=0可能会导致discuz ucenter无法登陆、头像上传后无法保存等等问题。据这个文章(https://blog.csdn.net/sun_cainiao/article/details/79601904)说新版本的php已经可以避免这个漏洞,security.limit_extensions 参数默认值为 .php,也就是说只允许访问 .php 后缀的文件。
现在是否可以把cgi.fix_pathinfo=1而不做其他措施?
这个是很久很久之前的了,lnmp是安装好即用的,不需要额外设置 本帖最后由 jekyll 于 2019-11-18 12:33 编辑
licess 发表于 2019-11-18 12:21
这个是很久很久之前的了,lnmp是安装好即用的,不需要额外设置
感谢军哥回复。
lnmp默认的配置是cgi.fix_pathinfo=0,我之前discuz搬家后,后台ucenter登陆不了,必须改成cgi.fix_pathinfo=1才能登陆。
今天我在调试另外一个DZ的时候也遇到后台ucenter登陆不了的问题,老跳转首页(域名没解析,我手动改了本地和vps的host)。
请问cgi.fix_pathinfo=1的漏洞还在吗?新DZ用的最新的PHP 7.3.11,老DZ用的PHP 5.6.40 jekyll 发表于 2019-11-18 12:27
感谢军哥回复。
lnmp默认的配置是cgi.fix_pathinfo=0,我之前discuz搬家后,后台ucenter登陆不了,必须改 ...
这是2011的漏洞,当年漏洞在当年php源码更新就已经修复了
5.6.40,7.3都是2019的肯定不存在这个漏洞
discuz我从6.0一直到现在的discuz x 3.4,没遇到过过这个问题不好判断原因 licess 发表于 2019-11-18 20:03
这是2011的漏洞,当年漏洞在当年php源码更新就已经修复了
5.6.40,7.3都是2019的肯定不存在这个漏洞
嗯,漏洞修复了我就放心了,主要是lnmp1.6默认的配置是cgi.fix_pathinfo=0,我担心漏洞还在。
确实,我自己测试,传了个后缀改成jpg的php,发现执行不了。
DZ这个ucenter的问题我用了五年都没遇到过,今年6月搬家出现的,网上很多人都有同样的问题,挺奇怪的,总之改成cgi.fix_pathinfo=1就正常的。
再次感谢军哥!
页:
[1]