Wiadomości

PHP 5.3.10 - załatano krytyczną lukę

6 lutego 2012 11:03,
Antoni Steliński
.. » Bezpieczeństwo » Bezpieczeństwo komputera osobistego » Patche bezpieczeństwa
TAGI: php, luka, dziura

Organizacja PHP Group udostępniła najnowsze wydanie PHP (5.3.10) - załatano w nim poważną lukę w zabezpieczeniach, która może być wykorzystana do nieautoryzowanego uruchomienia kodu na serwerach pracujących pod kontrolą starszych wersji PHP.

Ów błąd - oznaczony symbolem CVE-2012-0830 - został wykryty przez Stefana Essera, niezależnego konsultanta ds. bezpieczeństwa i twórcę popularnego rozszerzenia dla PHP o nazwie Suhosin. Serwis SecurityFocus sklasyfikował lukę jako "błąd projektowy" - głównie dlatego, że została ona wprowadzona do PHP przypadkiem, podczas usuwania innego problemu z zabezpieczeniami (załatanej na początku stycznia "dziury", powalającej na przeprowadzenie ataku denial of service).

Usunięty w styczniu błąd w zabezpieczeniach PHP (CVE-2011-4885) został ujawniony podczas grudniowej konferencji Chaos Communication Congress w Berlinie przez Alexandra Klinka i Juliana Wälde. To poważna luka, która występuje w wielu webowych platformach developerskich (nie tylko w PHP, ale również m.in. w ASP.NET, Javie oraz Pythonie) i umożliwia przeprowadzenie ataku typu hash collision.

W przypadku PHP problem rozwiązano w wydaniu 5.3.9, udostępnionym kilka tygodni temu. Niestety, okazało się, że usuwając z oprogramowania jeden problem, przypadkiem wprowadzono kolejny, pozwalający na nieautoryzowane uruchomienie kodu. Podatność ta występuje zarówno w PHP 5.3.9, jak i we wszystkich wcześniejszych wydaniach, do których przeportowano poprawkę blokującą atak hash collision.

Przedstawiciele PHP Group zalecają użytkownikom jak najszybsze zainstalowanie najnowszego wydania - ich zdaniem ryzyko ataku jest wysokie, bo w Sieci pojawiły się już pierwsze prototypowe exploity wykorzystujące lukę w PHP.

Najnowszą wersję PHP znaleźć można na oficjalnej stronie projektu.
Podziel się |
Ocena:
Twoja ocena:
+ dodaj komentarz

Komentarze (0)

Reklama

Huawei celuje w rynek biznesowy

Huawei celuje w rynek biznesowy

Huawei nieustannie rozwija się jako dostawca infrastruktury dla branży telekomunikacyjnej. W tym roku chiński koncern zamierza umocnić swoją pozycję również na rynku rozwiązań Enterprise.


Polecane

Opinie

Koniec Windows XP początkiem problemów?

Koniec Windows XP początkiem problemów?

Microsoft oficjalnie potwierdził, że za dwa lata definitywnie zakończy się era Windows XP - systemu operacyjnego,...


Spokój i luz administratora

Spokój i luz administratora

Wymagania wobec pracowników działów IT rosną proporcjonalnie do stopnia rozwoju teleinformatyki. Oczekuje się, że...


Prenumerata: Networld, Computerworld, PC World
Redakcja Regulamin Reklama
Ochrona Prywatności
04-204 Warszawa ul. Jordanowska 12
tel.: (+48 22) 321 78 00 fax: (+48 22) 321 78 88
© copyright 2011 IDG Poland SA