A biztonsági lyuk segítségével szemfüles támadó végrehajthat utasításokat a célgép rendszerén, vagy akár össze is boríthatja azt. A rés minden PHP verzióban megtalálható, a 4.1.1-es verzióval bezárólag. A készítok honlapjáról letöltheto a legfrissebb, eme hibától mentes 4.1.2-es verzió, de a korábbi változatokhoz is találhatók javítások.
A PHP is az Apache Software Foundation terméke, éppen ezért érdekes lehet, hogy más szerver programokkal alkalmazva nem sikerült ugyanezt a hibajelenséget reprodukálni.
Alfred Huger, biztonsági szakérto szerint a veszély valós, de a hiba kiaknázásához egy átlagos hacker tudása nem elégséges. Ezzel együtt természetesen érdemes minél gyorsabban frissíteni, hiszen villámgyorsan rá fognak jönni a rosszfiúk, hogyan aknázhatják ki ezt a rést.
Rasmus Lerdorf szoftverfejleszto -- aki a script nyelv korai verzióit megalkotta - is megnyilatkozott a témában. Elemzése szerint a hiba egy speciális "buffer overflow" jelenség, mely csak olyan gépeken okozhat problémát, melyek a PHP fájlfeltölto képességét engedélyezik. Minthogy ez egy igen népszeru képessége a nyelv értelmezonek, hiszen internet szolgáltatók sokasága használja, ahol sok feltöltést várnak ügyfeleiktol, ezért nyilván veszélyes probléma is. Szomorú, de némi ügyeskedéssel olyan fájlt lehet feltölteni, mely összedönthet egy rendszert. Szerencsére a védekezés nagyon egyszeru, csak a 4.1.2-es változatot kell telepíteni. Letöltheto innen
Biztonsági rés a PHP értelmezőben
Hirdetés
Hirdetés