Вийшли PHP 5.3.12 та PHP 5.4.2
20:08 18.05.2012У травні, 03.05.2012, вийшли PHP 5.3.12 та PHP 5.4.2. В яких виправлена критична уразливість. Дані релізи направлені на покращення безпеки гілок 5.3.x і 5.4.x.
Cеред секюріті виправлень в PHP 5.3.12 та PHP 5.4.2:
- Виправлена можливість відправки довільних команд PHP інтерпретатору.
До цієї атаки уразливі деякі CGI-орієнтовані інсталяції (Apache+mod_php і nginx+php-fpm не є вразливими). Команди передаються PHP інтерпретатору через спеціальні GET або HEAD запити. Зокрема за допомогою команди (ключа) “-s” можна читати вихідні коди скриптів.
Для перевірки на наявність даної уразливості в PHP на сервері потрібно відправити наступний запит:
http://site_on_php/?-s
Окрім патча, розробники PHP також запроновували метод захисту від цієї атаки за допомогою правил mod_rewrite. Але ці правила виявилися неефективними й їх можна було легко обійти, тому вже через три дні вони випустили новий варіант правил mod_rewrite для захисту від цієї атаки.
По матеріалам http://www.php.net.