Ów błąd - oznaczony symbolem CVE-2012-0830 - został wykryty przez Stefana Essera, niezależnego konsultanta ds. bezpieczeństwa i twórcę popularnego rozszerzenia dla PHP o nazwie Suhosin. Serwis SecurityFocus sklasyfikował lukę jako "błąd projektowy" - głównie dlatego, że została ona wprowadzona do PHP przypadkiem, podczas usuwania innego problemu z zabezpieczeniami (załatanej na początku stycznia "dziury", powalającej na przeprowadzenie ataku denial of service).

Usunięty w styczniu błąd w zabezpieczeniach PHP (CVE-2011-4885) został ujawniony podczas grudniowej konferencji Chaos Communication Congress w Berlinie przez Alexandra Klinka i Juliana Wälde. To poważna luka, która występuje w wielu webowych platformach developerskich (nie tylko w PHP, ale również m.in. w ASP.NET, Javie oraz Pythonie) i umożliwia przeprowadzenie ataku typu hash collision.

Zobacz również:

• Luka w zabezpieczeniach WordPress

W przypadku PHP problem rozwiązano w wydaniu 5.3.9, udostępnionym kilka tygodni temu. Niestety, okazało się, że usuwając z oprogramowania jeden problem, przypadkiem wprowadzono kolejny, pozwalający na nieautoryzowane uruchomienie kodu. Podatność ta występuje zarówno w PHP 5.3.9, jak i we wszystkich wcześniejszych wydaniach, do których przeportowano poprawkę blokującą atak hash collision.

Przedstawiciele PHP Group zalecają użytkownikom jak najszybsze zainstalowanie najnowszego wydania - ich zdaniem ryzyko ataku jest wysokie, bo w Sieci pojawiły się już pierwsze prototypowe exploity wykorzystujące lukę w PHP.

Najnowszą wersję PHP znaleźć można na oficjalnej stronie projektu.