不得不说军哥的LNMP(Linux, Nignix, MySQL, PHP的一键安装包)给我们这些技术小白着实方便了不少,但是最新的版本LNMP0.7却在Hostloc上经由版主CAT爆出了其中包含PATH_INFO的漏洞。本文已经不是神马新闻了,只因为微魔本人也是刚刚重装了LNMP,怕自己下次忘记,也顺便Po出来提醒一下大家吧~
解决办法(亦可以通过一下方法检验自己是否正在受到此漏洞的威胁):
下载php.ini文件(/usr/local/php/etc/php.ini)
搜索:
cgi.fix_pathinfo
改成如下代码(去掉注释的;):
cgi.fix_pathinfo=0
当然,为了避免麻烦,我们也可以直接SSH登陆并运行以下代码:
sed -i ‘s/; cgi.fix_pathinfo=0/cgi.fix_pathinfo=0/g’ /usr/local/php/etc/php.ini
漏洞发布地址:http://www.hostloc.com/thread-60433-1-1.html
尽管LNMP爆出了这个漏洞,但是瑕不掩瑜,也请明理之人勿对其作者过多吐槽,用者不疑,疑者勿用。
呵呵,偶也是刚刚换上0.7的~