Вийшли PHP 5.3.12 та PHP 5.4.2

20:08 18.05.2012

У травні, 03.05.2012, вийшли PHP 5.3.12 та PHP 5.4.2. В яких виправлена критична уразливість. Дані релізи направлені на покращення безпеки гілок 5.3.x і 5.4.x.

Cеред секюріті виправлень в PHP 5.3.12 та PHP 5.4.2:

  • Виправлена можливість відправки довільних команд PHP інтерпретатору.

До цієї атаки уразливі деякі CGI-орієнтовані інсталяції (Apache+mod_php і nginx+php-fpm не є вразливими). Команди передаються PHP інтерпретатору через спеціальні GET або HEAD запити. Зокрема за допомогою команди (ключа) “-s” можна читати вихідні коди скриптів.

Для перевірки на наявність даної уразливості в PHP на сервері потрібно відправити наступний запит:
http://site_on_php/?-s

Окрім патча, розробники PHP також запроновували метод захисту від цієї атаки за допомогою правил mod_rewrite. Але ці правила виявилися неефективними й їх можна було легко обійти, тому вже через три дні вони випустили новий варіант правил mod_rewrite для захисту від цієї атаки.

По матеріалам http://www.php.net.


Leave a Reply

You must be logged in to post a comment.