Я пытаюсь добиться совместимости с PCI, и компания, занимающаяся сканированием PCI, отмечает наш Ubuntu 12.04.3 (PHP 5.3.10-1ubuntu3.8) для CVE-2013-1635 [1], в котором говорится: «Мы не поддерживаем использование open_basedir. ". Что именно имеется в виду? Я до сих пор вижу ссылки на обе директивы в файле php.ini, и компания PCI утверждает, что Canonical не «решила» эту проблему. Какие-либо предложения?
[1] http://people.canonical.com/~ubuntu-security/cve/2013/CVE-2013-1635.html
Пример файла конфигурации для php имеет более подробное объяснение:
; open_basedir, if set, limits all file operations to the defined directory
; and below. This directive makes most sense if used in a per-directory
; or per-virtualhost web server configuration file. This directive is
; *NOT* affected by whether Safe Mode is turned On or Off.
; NOTE: this is considered a "broken" security measure.
; Applications relying on this feature will not recieve full
; support by the security team. For more information please
; see /usr/share/doc/php5-common/README.Debian.security
Если вы не используете функцию open_basedir, уязвимость не затронет вас и не вызовет беспокойства. Так же, как уязвимость «подбора пароля» не повлияет на вас, если у вас есть достаточно надежные пароли пользователей.
Обратите внимание, что другие группы безопасности также решили «не решать» эту проблему, поскольку директива open_basedir не считается правильно реализованной функцией безопасности:
https://bugzilla.redhat.com/show_bug.cgi?id=169857#c1
Эта ошибка будет использоваться как мета-ошибка для отслеживания проблем PHP "безопасного" режима / open_basedir, которые, как правило, не будут исправляться в обновлениях пакета PHP для Red Hat Enterprise Linux.
Openbase_dir может вызывать проблемы и уязвимости безопасности, особенно когда сообщается об ошибках и их необходимо исправить. Вы должны прокомментировать эту директиву в php.ini или рассмотреть другую операционную систему, поскольку это специфическая проблема для Ubuntu. Я предлагаю вам лучше использовать CentOS. Проконсультируйтесь со своим разработчиком, если эта директива не требуется, лучше прокомментируйте ее в php.ini.