Websecurity - Веб безпека

Триває Місяць багів в PHP, розпочатий позавчора. І Стефан Ессер продовжує публікувати інформацію про діри в безпеці PHP.

Як повідомляється на офіційному сайті Month of PHP Bugs, на третий день були упобліковані деталі про три уразливості в PHP (одна XSS дірка, причому вже давня, та ще два бонусних бага).

• Zend Platform Insecure File Permission Local Root Vulnerability (деталі)
• Zend Platform ini_modifier Local Root Vulnerability (деталі)
• PHP 4 phpinfo() XSS Vulnerability (Deja-vu) (деталі), експлоіт: MOPB-08-2007.phpt

Зазначу, що вказана XSS дірка в phpinfo() відома вже давно, про неї в новинах ще писалося весною 2006 (і я запланував додатково про неї розповісти). Тому приведена Стефаном дірка (і експлоіт), котру він так і назвав “Дежа-вю” , говорить про те, що цю уразливість розробники так і не пофіксили остаточно.

Третій день Місяця багів в PHP також видався цікавим і спекотним. Чекаємо на наступний день багів.

This entry was posted on 21:37 03.03.2007 and is filed under Новини сайту, Помилки. You can follow any responses to this entry through the RSS 2.0 feed.