PHP 5.3.10 - załatano krytyczną lukę
- Antoni Steliński,
- 06.02.2012, godz. 11:03
Organizacja PHP Group udostępniła najnowsze wydanie PHP (5.3.10) - załatano w nim poważną lukę w zabezpieczeniach, która może być wykorzystana do nieautoryzowanego uruchomienia kodu na serwerach pracujących pod kontrolą starszych wersji PHP.
Usunięty w styczniu błąd w zabezpieczeniach PHP (CVE-2011-4885) został ujawniony podczas grudniowej konferencji Chaos Communication Congress w Berlinie przez Alexandra Klinka i Juliana Wälde. To poważna luka, która występuje w wielu webowych platformach developerskich (nie tylko w PHP, ale również m.in. w ASP.NET, Javie oraz Pythonie) i umożliwia przeprowadzenie ataku typu hash collision.
Zobacz również:
W przypadku PHP problem rozwiązano w wydaniu 5.3.9, udostępnionym kilka tygodni temu. Niestety, okazało się, że usuwając z oprogramowania jeden problem, przypadkiem wprowadzono kolejny, pozwalający na nieautoryzowane uruchomienie kodu. Podatność ta występuje zarówno w PHP 5.3.9, jak i we wszystkich wcześniejszych wydaniach, do których przeportowano poprawkę blokującą atak hash collision.
Przedstawiciele PHP Group zalecają użytkownikom jak najszybsze zainstalowanie najnowszego wydania - ich zdaniem ryzyko ataku jest wysokie, bo w Sieci pojawiły się już pierwsze prototypowe exploity wykorzystujące lukę w PHP.
Najnowszą wersję PHP znaleźć można na oficjalnej stronie projektu.