ทีมงาน SektionEins สาธิตให้ดูด้วยการรันสคริปต์เพื่อดึงกุญแจ SSL จาก mod_ssl ที่รันภายใต้โปรเซส Apache ตัวเดียวกัน ทำให้แฮกเกอร์ที่รันสคริปต์ในเครื่องได้สามารถดึงกุญแจ SSL ออกมาได้ทันที แม้จะเป็นเพียงแอพพลิเคชั่นหนึ่งที่ไม่มีสิทธิจัดการเซิร์ฟเวอร์ก็ตามที
หมายความว่าเราต้องใช้ตัวรัน PHP แยก อย่างเช่น FastCGI แทนถึงจะสามารแก้ปัญหาได้ใช่ไหมครับ?
ได้ข่าวมาว่า FastCGI กินแรมเยอะซะด้วยสิ…
fastcgi ก็กินแรมเท่ากะ php ปกตินั่นแหละครับ - -’ แต่ถ้าเปลี่ยนมาใช้ fastcgi แล้วไม่ได้เอา php apache module ออกมันก็เปลืองแรมเพิ่ม เพราะ apache ต้อง load module php เบิ้ล
disable_function phpinfo() ทิ้งไปเลยก็ได้ครับ
แต่เราเซฟหน้า phpinfo ของเซิฟเวอร์ไว้เป็น html ไฟล์นึง เวลาลูกค้าขอก็เอาไอ้นี่ให้ดู
สนใจแต่เรื่องว่าถ้า up PHP จาก 5.3 ไป 5.5 ตอนนี้บน Production Web hosting server มัน OK หรือยังครับ.
ผมเริ่มปรับเป็น 5.4 แล้วครับ ส่วน 5.5 เท่าที่ทดสอบแทบไม่ต่างกับ 5.4 เลย (แถมติดเรื่อง module ไม่ค่อย support อีก) ก็เลยยังไม่ได้อัพไป
// บังเอิญว่า plesk ทำแบบนี้ได้ ก็เลยสบายไป
เวอร์ชั่นต่ำกว่า 5.3 ก็มีปัญหานี้ แต่ในข่าวภาษาไทยต้นทางไม่ได้แปลมาลงไว้ด้วยครับ เผื่อใครคิดว่า < 5.3 ปลอดภัย (ถ้ายังใช้กันอยู่)
https://www.sektioneins.de/en/blog/14-07-04-phpinfo-infoleak.html
[COLOR=#333333][FONT=Helvetica Neue]For PHP 5.3 and below the code does not enforce UTF-8 and therefore arbitrary binary content can be leaked, which we will use in the following example to leak the server’s private SSL RSA key.
[/FONT][/COLOR]
ดีนะครับ ตอนนี้ใช้ล่าสุดอยู่