Поделиться
В языке CGI-программирования РНР обнаружены серьезные ошибки
Эксперты по сетевой безопасности предупредили о семи опасных системных уязвимостях, обнаруженных в серверном приложении популярного языка CGI-программирования PHP. Одна из проблем связана с тем, как PHP обрабатывает POST-запросы, при помощи которых пользователи могут загружать файлы на сервер. При помощи нескольких ошибок в функции php_mime_split хакеры также могут запустить на исполнение на стороне сервера собственный программный код. Перечисленные уязвимости были обнаружены германской компании e-Matters, являющейся одной из участников команды разработчиков РНР.Таким образом, команда разработчиков РНР уже объявила о выпуске усовершенствованной версии языка, в которой устранены обнаруженные ошибки. Кроме того, особо подчеркивается, что большинство найденных уязвимостей представляют опасность только для серверов под управлением ОС Solaris от Sun Microsystems и нескольких версий Linux.
Напомним, что разработка языка РНР, являющегося сегодня одним из наиболее распространенных инструментов CGI-программирования, наряду с Perl, начиналась в качестве проекта Apache Software Foundation, являющегося также разработчиком популярного веб-сервера Apache, распространяемого бесплатно и занимающего, по оценкам компании Netcraft, до 60% рынка веб-серверов. Большинство установленных серверов РНР также работают под управлением Apache, однако сам PHP поддерживается и большинством других веб-серверов, что, как можно убедиться, иногда вызывает проблемы с его безопасностью.
Полный перечень уязвимостей, обнаруженных в серверном приложении РНР компанией e-matters доступен здесь.
Короткая ссылка
