В PHP обнаружена неприятная уязвимость позволяющая внедрить код на атакуемый сайт
Серверу в данном случае ничего не грозит, а вот сайтам клиентов на хостинге может быть очень неприятно.
Как работает данная уязвимость:
в конфигурационный файл php.ini нужно добавить директиву auto_append_file=»OFF»»
Из справки по PHP вычитал следующее:
Директива auto_append_file уточняет имя обрабатываемого файла, включаемого в парсинг до начала основной обработки кода. Директива auto_append_file = «значение» является аналогом функции PHP require (). Положение auto_append_file=»Off» интерпретируется как файл: /tmp/Off.
Собственно дальше все понятно. Создаем файл /tmp/Off, записываем в него код для выполнения на сервере и обращаемся к нему.
Атака сложная, но вполне реализуемая.