PHP wymaga łatania. Znów
- Antoni Steliński,
- 08.05.2012, godz. 10:26
PHP Group pracuje nad poprawką dla języka PHP, która ma usunąć z niego dwie poważne luki w zabezpieczeniach. Jedną z nich organizacja próbowała już załatać kilka dni temu, ale udostępniona 3 maja łatka okazała się nieskuteczna.
Polecamy:
Przedstawiciele PHP Group próbowali rozwiązać ten problem już 3 maja - udostępnione wtedy wydania PHP 5.3.12 oraz PHP 5.4.2 miały zawierać stosowną poprawkę. Okazało się jednak, że wprowadzone w nich zabezpieczenia są nieskuteczne - Stefan Esser, twórca popularnego rozszerzenia bezpieczeństwa Suhosin PHP, szybko dowiódł, że bez większego problemu da się je obejść.
Zobacz również:
W niedzielę oficjalnie problem potwierdziła PHP Group - organizacja zapowiedziała od razu, że pracuje już nad nowymi aktualizacjami, które ostatecznie usuną opisaną powyżej lukę w CGI (a także dodatkowy błąd, znaleziony w tym module).
Twórcy PHP poinformowali również, jak można tymczasowo rozwiązać ów problem. Metoda wykorzystuje moduł mod_rewrite serwera Apache i polega na zablokowaniu zapytań zawierających znak "-", który w wyniku luki może być interpretowany jako przełącznik wiersza poleceń. Zastosowanie tej metody może jednak spowodować zablokowanie części "legalnych" zapytań.
Druga luka, która ma zostać załatana przez szykowaną właśnie aktualizację, to typowy błąd przepełnienia stosu, który może zostać wykorzystany do zdalnego, nieautoryzowanego uruchomienia kodu. Problem wykryty został przez specjalistę ds. bezpieczeństwa i złośliwego oprogramowania, Georga Wicherskiego.
Specjaliści podkreślają, że aktualna sytuacja jest bardzo niezręczna dla PHP Group i że może być ona w pewnym sensie zagrożeniem dla użytkowników. Można bowiem wyobrazić sobie sytuację, w której administrator serwera po zainstalowaniu wersji PHP 5.3.12 lub PHP 5.4.2 będzie przekonany, że problem z CGI został już rozwiązany i nie wymaga żadnych dalszych działań (mimo iż do ostatecznego załatania błędu niezbędne będzie zainstalowanie jeszcze jednej poprawki).
Organizacja PHP Group udostępniła aktualizacje dla PHP - wersje 5.4.3 oraz PHP 5.3.13. Usunięto w nich opisywane powyżej błędy. Szczegółowe informacje na temat poprawek oraz pliki do pobrania znaleźć można na stronie PHP.