|
Поделиться
Поделиться
Критическая уязвимость привела к новому релизу РНР
Новая серьезная уязвимость обнаружена в языке написания серверных сценариев РНР версий 4.2.0 и 4.2.1, сообщает официальное сообщество разработчиков PHP Group. Выявленная системная ошибка позволяет злоумышленнику исполнять собственный программный код с правами веб-сервера. Уязвимым признан код парсера, обрабатывающего заголовки запросов HTTP POST. Несовершенный алгоритм проверки введенных запросов, реализованный в парсере, делает подобные атаки возможными. Воспользоваться ошибкой может любой пользователь Сети, посылающий запросы HTTP POST веб-серверу: таким образом, теоретически, атака может быть организована даже из-за файрвола. Исполнение внешнего кода невозможно при использовании платформы IA32, однако и она, по заявлению разработчиков РНР, не гарантирует защиты от выведения из строя интерпретатора языка и даже веб-сервера целиком.Выявленная ошибка признана настолько существенной, что PHP Group отказалась от идеи выпуска отдельной программы-заплатки. Уязвимость полностью устранена в новой версии РНР 4.2.2, доступной для загрузки с официального сервера с 22 июля текущего года.
Источник: по материалам РНР Group
Короткая ссылка
