Hirdetés

60 hibát találtak a PHP rendszerben



|

Szerencsére egyik sem könnyen kihasználható ártalmas kód futtatására.

Hirdetés

Májusban tartották, három év szünetet követően a Month of PHP Security (MOPS) rendezvényt, mely igencsak eredményesen zárult - még ha hírnév szempontjából ez nem is feltétlenül kedvező a PHP számára. A rendezvény célja ugyanis az, hogy forráskód és bináris kód autentikációval felderítsék a webkiszolgáló szoftverbe került biztonsági hibákat és figyelmeztessék erre a fejlesztőket. Másodlagos, de nem mellékes cél, hogy olyan cikkeket és eszközöket bocsássanak rendelkezésre, melyekkel biztonságosabb PHP alkalmazások fejleszthetők.

 

PHP
PHP

 

A közismert webes szkriptnyelvben ugyanis alig 31 nap alatt kerek 60 biztonsági hibát találtak, azaz átlagosan naponta kettőt fedeztek fel. Szakértők szerint a hibák közül egy sem kritikus, mert kihasználásukhoz a támadó tetszőleges PHP-szkriptet kell, hogy tudjon futtatni a megtámadott szerveren, ez a lehetőség pedig a legritkább esetben adott. Kódinjekciós támadással kombinálva a sebezhetőségek némelyike lehetővé teheti a korlátozások kijátszását a PHP-ben, és akár a gép feletti ellenőrzés átvételéhez is hozzásegíthetik a hackert.

Jó példa a PHP 5.3-ban talált hibákra az, melyet még a rendezvény első napjaiban fedeztek fel. A php_dechunk() függvényben azonosított probléma lényege, hogy általa lehetséges olyan darabolt http kéréseket továbbítani a rendszernek, melyekre az a memória felemésztésével és a szerver bénulásával válaszol. Szakértők szerint a rés nem használható ki tetszőleges kód végrehajtására, de szolgáltatás megtagadásához vezető (Dos) támmadások indíthatók a kihasználásával.

A MOPS keretében azonosított hibák részletei a MOPS oldalán olvashatók, konkrét forráskód megjelölésekkel és dokumentációval. A PHP javított változatának megjelenése rövidesen várható.

 

Hirdetés

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://www.pcwplus.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.