webikdddorf
Новичок
Баг-дыра акселератора APC всех версий
На любом хостинге где установлен APC можно создать файл apc.php (его можно взять прямо из дистрибутива apc) и тогда можно увидеть пути/имена всех файлов и каталогов всех пользователей хостинга, которые попали в кэш. А если какие-то из приложений пользователей такого хостинга хранят данные в кеше APC, то видно даже эти данные! Вообще все содержимое видно, с полными путями. Причем можно даже очищать этот самый кэш, запустит злоумышленник этот файл с set_time_limit 0 и периодическим сбросом кэша и пипец, можно считать что нет кэша у хостинга. Про то что все файлы и папки видны я вообще молчу - это мегадырень!!!
Не судите меня строго, я облазил google и документацию по APC, думал этот как то можно запретить, но нет, в настройках apc нет ни логина не пароля.
Подскажите пожалуйста как это поправить или подтвердите что это мегадыра и использовать APC хостерам категорически нельзя.
На любом хостинге где установлен APC можно создать файл apc.php (его можно взять прямо из дистрибутива apc) и тогда можно увидеть пути/имена всех файлов и каталогов всех пользователей хостинга, которые попали в кэш. А если какие-то из приложений пользователей такого хостинга хранят данные в кеше APC, то видно даже эти данные! Вообще все содержимое видно, с полными путями. Причем можно даже очищать этот самый кэш, запустит злоумышленник этот файл с set_time_limit 0 и периодическим сбросом кэша и пипец, можно считать что нет кэша у хостинга. Про то что все файлы и папки видны я вообще молчу - это мегадырень!!!
Не судите меня строго, я облазил google и документацию по APC, думал этот как то можно запретить, но нет, в настройках apc нет ни логина не пароля.
Подскажите пожалуйста как это поправить или подтвердите что это мегадыра и использовать APC хостерам категорически нельзя.
