06 Июля 2005 16:07 06 Июл 2005 16:07 |

Поделиться

GulfTech: веб-приложения под угрозой

Ошибки были обнаружены в XML-RPC For PHP и PEAR XML_RPC. Системы удаленного вызова процедур (RPC) используются вместе с протоколом HTTP для расширения возможностей веб-сервисов и становятся все более популярными. Вышеупомянутые протоколы реализуют XML-RPC для языка сценариев PHP, встраиваемых в веб-страницы и выполняющихся на сервере. Протокол, который также называют PHPXMLRPC, используется в ряде веб-приложений: PostNuke, Drupal, b2evolution и TikiWiki.

«PHPXMLRPC подвержен очень большому риску удаленного выполнения PHP-кода, что может привести к компрометации веб-сервера», — говорится в заявлении GulfTech. Уязвимость вызвана ошибкой в функции разбиения данных (парсинга) parseRequest(), данные в которой передаются eval(). Особенностью последней функции является возможность передать в одинарных кавычках команду, которая будет выполнена.

Ошибка уже исправлена в новой версии PHPXMLRPC. Для защиты некоторых приложений, таких, как eGroupWare и phpGroupWare, независимая группа ИТ-безопасности Secunia рекомендует ограничить доступ к функциональности XML-RPC.

Уязвимость в PEAR XML_RPC отличается от PHPXMLRPC, но ее эксплуатация приводит к аналогичному результату, утверждают в GulfTech. В версии 1.3.1 ошибка исправлена.

Поделиться

Подписаться на новости Короткая ссылка