VPS侦探论坛

 找回密码
 注册
查看: 119|回复: 4

请问军哥cgi.fix_pathinfo漏洞还存在吗?

[复制链接]
发表于 2019-11-18 12:13:53 | 显示全部楼层 |阅读模式



设置cgi.fix_pathinfo=0可能会导致discuz ucenter无法登陆、头像上传后无法保存等等问题。
据这个文章(https://blog.csdn.net/sun_cainiao/article/details/79601904)说新版本的php已经可以避免这个漏洞,security.limit_extensions 参数默认值为 .php,也就是说只允许访问 .php 后缀的文件。
现在是否可以把cgi.fix_pathinfo=1而不做其他措施?
美国VPS推荐: 遨游主机LinodeLOCVPSKVMLAVPS2EZ搬瓦工80VPSVultr美国VPS主机中国VPS推荐: 阿里云腾讯云。LNMP付费服务(代装/问题排查)QQ 503228080
发表于 2019-11-18 12:21:13 | 显示全部楼层


这个是很久很久之前的了,lnmp是安装好即用的,不需要额外设置
Linux下Nginx+MySQL+PHP自动安装工具:https://lnmp.org
 楼主| 发表于 2019-11-18 12:27:21 | 显示全部楼层



本帖最后由 jekyll 于 2019-11-18 12:33 编辑
licess 发表于 2019-11-18 12:21
这个是很久很久之前的了,lnmp是安装好即用的,不需要额外设置

感谢军哥回复。
lnmp默认的配置是cgi.fix_pathinfo=0,我之前discuz搬家后,后台ucenter登陆不了,必须改成cgi.fix_pathinfo=1才能登陆。
今天我在调试另外一个DZ的时候也遇到后台ucenter登陆不了的问题,老跳转首页(域名没解析,我手动改了本地和vps的host)。

请问cgi.fix_pathinfo=1的漏洞还在吗?新DZ用的最新的PHP 7.3.11,老DZ用的PHP 5.6.40
美国VPS推荐: 遨游主机LinodeLOCVPSKVMLAVPS2EZ搬瓦工80VPSVultr美国VPS主机中国VPS推荐: 阿里云腾讯云。LNMP付费服务(代装/问题排查)QQ 503228080
发表于 2019-11-18 20:03:22 | 显示全部楼层



jekyll 发表于 2019-11-18 12:27
感谢军哥回复。
lnmp默认的配置是cgi.fix_pathinfo=0,我之前discuz搬家后,后台ucenter登陆不了,必须改 ...

这是2011的漏洞,当年漏洞在当年php源码更新就已经修复了
5.6.40,7.3都是2019的肯定不存在这个漏洞

discuz我从6.0一直到现在的discuz x 3.4,没遇到过过这个问题不好判断原因
Linux下Nginx+MySQL+PHP自动安装工具:https://lnmp.org
 楼主| 发表于 2019-11-18 23:32:52 | 显示全部楼层

licess 发表于 2019-11-18 20:03
这是2011的漏洞,当年漏洞在当年php源码更新就已经修复了
5.6.40,7.3都是2019的肯定不存在这个漏洞

嗯,漏洞修复了我就放心了,主要是lnmp1.6默认的配置是cgi.fix_pathinfo=0,我担心漏洞还在。
确实,我自己测试,传了个后缀改成jpg的php,发现执行不了。
DZ这个ucenter的问题我用了五年都没遇到过,今年6月搬家出现的,网上很多人都有同样的问题,挺奇怪的,总之改成cgi.fix_pathinfo=1就正常的。

再次感谢军哥!

美国VPS、VPN、域名代购:http://shop63846532.taobao.com/

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|VPS侦探 ( 鲁ICP备16040043号-1 )

GMT+8, 2019-12-15 23:57 , Processed in 0.051890 second(s), 26 queries .

Powered by Discuz! X3.4

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表