Computerworld.pl
 
  1. Strona główna
  2. Wiadomości
  3. PHP wymaga łatania. Znów

PHP wymaga łatania. Znów

PHP Group pracuje nad poprawką dla języka PHP, która ma usunąć z niego dwie poważne luki w zabezpieczeniach. Jedną z nich organizacja próbowała już załatać kilka dni temu, ale udostępniona 3 maja łatka okazała się nieskuteczna.

Błąd oznaczony symbolem CVE-2012-1823 znajduje się w php-cgi, czyli komponencie PHP odpowiedzialnym za obsługę konfiguracji CGI (Common Gateway Interface). Wykrył i zgłosił go na początku roku niezależny specjalista ds. bezpieczeństwa, ukrywający się pod pseudonimem De Eindbazen. znaleziona luka może zostać wykorzystana do ujawniania kodu źródłowego skryptów PHP oraz zdalnego, nieautoryzowanego uruchomienia kodu w zaatakowanym systemie.

Przedstawiciele PHP Group próbowali rozwiązać ten problem już 3 maja - udostępnione wtedy wydania PHP 5.3.12 oraz PHP 5.4.2 miały zawierać stosowną poprawkę. Okazało się jednak, że wprowadzone w nich zabezpieczenia są nieskuteczne - Stefan Esser, twórca popularnego rozszerzenia bezpieczeństwa Suhosin PHP, szybko dowiódł, że bez większego problemu da się je obejść.

Zobacz również:

  • Luka w zabezpieczeniach WordPress
  • Wszystkie problemy macOS 14.4 - lepiej nie aktualizować Maców

W niedzielę oficjalnie problem potwierdziła PHP Group - organizacja zapowiedziała od razu, że pracuje już nad nowymi aktualizacjami, które ostatecznie usuną opisaną powyżej lukę w CGI (a także dodatkowy błąd, znaleziony w tym module).

Twórcy PHP poinformowali również, jak można tymczasowo rozwiązać ów problem. Metoda wykorzystuje moduł mod_rewrite serwera Apache i polega na zablokowaniu zapytań zawierających znak "-", który w wyniku luki może być interpretowany jako przełącznik wiersza poleceń. Zastosowanie tej metody może jednak spowodować zablokowanie części "legalnych" zapytań.

Druga luka, która ma zostać załatana przez szykowaną właśnie aktualizację, to typowy błąd przepełnienia stosu, który może zostać wykorzystany do zdalnego, nieautoryzowanego uruchomienia kodu. Problem wykryty został przez specjalistę ds. bezpieczeństwa i złośliwego oprogramowania, Georga Wicherskiego.

Specjaliści podkreślają, że aktualna sytuacja jest bardzo niezręczna dla PHP Group i że może być ona w pewnym sensie zagrożeniem dla użytkowników. Można bowiem wyobrazić sobie sytuację, w której administrator serwera po zainstalowaniu wersji PHP 5.3.12 lub PHP 5.4.2 będzie przekonany, że problem z CGI został już rozwiązany i nie wymaga żadnych dalszych działań (mimo iż do ostatecznego załatania błędu niezbędne będzie zainstalowanie jeszcze jednej poprawki).
Aktualizacja: 10 maja 2012 09:40

Organizacja PHP Group udostępniła aktualizacje dla PHP - wersje 5.4.3 oraz PHP 5.3.13. Usunięto w nich opisywane powyżej błędy. Szczegółowe informacje na temat poprawek oraz pliki do pobrania znaleźć można na stronie PHP.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200

Computerworld

Computerworld dostarcza najświeższe informacje, opinie, prognozy i analizy z branży IT w Polsce i na świecie.

Tematy

Serwisy IDG

Znajdź nas:   

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

Zamów reklamę

(+48) 662 287 830
Napisz do nas