покажите мне эту функцию тут

Где ты в этом заголовке видел фразу "сенсация" или "страшная дыра"?

> Я публикую информацию о дыре, а не описание функции dlopen. Если ты не в состоянии найти описание этой фунции, это твоя проблема, а не моя.

Честно говоря я тоже не знаю этой функции, хотя уже не первый год программирую на PHP.
Если Вас не затруднит, не могли бы Вы все-таки "ткнуть лицом" в ман, где про нее написано.

Где я здесь вижу "сенсация?"
"Доступ к произвольным частям памяти Web сервера через PHP функцию DLOpen()" - вчитайся в название.
"Доступ к ценным данным с помощью PHP."
"Взлом веб-сервера с помощью РНР", фактически.
Да еще и "can execute arbitrary code".
Громко звучит, хорошо написано.

Ты публикуешь непроверенную информацию.
Более того. Я бы назвал это бредом человека, который ничего не понимает в том, о чем пишет.
И это - твоя проблема.

>Users who can supply scripts to be parsed can cause apache to
>execute arbitary code.
извините, но то, что юзеры, которые могут писать скрипты могут что-то делать - это очевидно.
ограничение их прав - дело сисадмина.

>If you can use the dlopen() function in PHP, you can do many
>interesting things to the apache (or alternate web server's) process
>memory.
ой, правда?
не знал, что это функция РНР.
всегда думал, что это функция Сишная.

>You can disable the dlopen function by utilising the disable_function
>parameter in the php.ini configuration file, or alternatively, enable
>safe_mode in the php.ini configuration file.
ДААА???
интересная трава была у того, кто это написал.

простите, ты вообще себе представляешь что такое РНР?
есть серьезные сомнения на этот счет.
я понимаю, что сложно проверить каждое такое "сообщение", но так себя подставлять - это же просто смешно.
причем это не в первый раз.
уже была когда-то статейка про функцию socket_iovec_set(), с помощью которой, якобы можно завалить сервер (автора не помню, искать не буду).
оказалось, что банальный баг валил ЧАЙЛДА апаче с сегфолтом.
ничего ужасного не происходило при этом.
тоже было смешно.

пожалуйста, проверяйте информацию перед тем, как ее постить в новости.

> Громко звучит, хорошо написано.
На securityfocus звучит подобно "PHP DLOpen Arbitrary Web Server Process Memory Vulnerability"
> Ты публикуешь непроверенную информацию.
Я публикую информацию, которой SecurityFocus присвоил bugtraq ID http://www.securityfocus.com/bid/8405. Значит и они публикуют непроверенную информацию. Ты знаешь более надежный источник?

В PHP я не очень разбираюсь, а должен??

нет, но теперь я и этот источник не считаю надежным.

зависит, конечно, от желания.
лично я бы, так или иначе, начал бы разбираться в том, о чем пишу.

Ну, блин, народ вообще оборзел - им переводят, а они не рады... Ау...Это ворум по безопасности, а не лекции по программированию. Что касается этой ф-ции, то советую господам возмущающимся обратиться к поисковикам...