c.m.g
08-05-2012, 08:22
lunedì 7 maggio 2012
Una vulnerabilità nel linguaggio di scripting nota da mesi finisce inavvertitamente online, gli sviluppatori preparano una patch ma la pezza risulta inefficace e facilmente aggirabile
Roma - Ancora guai per PHP, il linguaggio di scripting che riveste un ruolo centrale nella pila LAMP (Linux, Apache, MySQL e appunto PHP) per le applicazioni web: una vulnerabilità nota da mesi viene resa pubblica e gli sviluppatori sono costretti a pubblicare una patch. Che però non risolve il problema.
La vulnerabilità, pubblicata su Reddit "per errore", riguarda (http://www.pcworld.com/article/255095/emergency_patches_pushed_for_flash_php.html) i server configurati in modalità CGI: usando una particolare sintassi per le stringhe delle query, un malintenzionato potrebbe impossessarsi del codice sorgente del sito o anche eseguire codice da remoto.
Con la "disclosure" della vulnerabilità - scoperta mesi fa ma presente in PHP da otto anni - il gruppo di lavoro di PHP ha rilasciato una patch "di corsa" per le versioni 5.3.12 e 5.4.2. Il risultato? La patch non funziona (http://www.h-online.com/security/news/item/PHP-patch-quick-but-inadequate-1568454.html), le misure protettive integrate in PHP sono facilmente aggirabili e la vulnerabilità è sempre lì presente.Una pezza capace di risolvere davvero il problema una volta per tutte è già stata proposta ed è in corso di approvazione, mentre un exploit capace di sfruttare la vulnerabilità è già finito all'interno dell'arsenale open source di Metasploit.
Alfonso Maruccia
Fonte: Punto Informatico (http://punto-informatico.it/3513483/PI/News/php-cura-che-non-cura.aspx)
Una vulnerabilità nel linguaggio di scripting nota da mesi finisce inavvertitamente online, gli sviluppatori preparano una patch ma la pezza risulta inefficace e facilmente aggirabile
Roma - Ancora guai per PHP, il linguaggio di scripting che riveste un ruolo centrale nella pila LAMP (Linux, Apache, MySQL e appunto PHP) per le applicazioni web: una vulnerabilità nota da mesi viene resa pubblica e gli sviluppatori sono costretti a pubblicare una patch. Che però non risolve il problema.
La vulnerabilità, pubblicata su Reddit "per errore", riguarda (http://www.pcworld.com/article/255095/emergency_patches_pushed_for_flash_php.html) i server configurati in modalità CGI: usando una particolare sintassi per le stringhe delle query, un malintenzionato potrebbe impossessarsi del codice sorgente del sito o anche eseguire codice da remoto.
Con la "disclosure" della vulnerabilità - scoperta mesi fa ma presente in PHP da otto anni - il gruppo di lavoro di PHP ha rilasciato una patch "di corsa" per le versioni 5.3.12 e 5.4.2. Il risultato? La patch non funziona (http://www.h-online.com/security/news/item/PHP-patch-quick-but-inadequate-1568454.html), le misure protettive integrate in PHP sono facilmente aggirabili e la vulnerabilità è sempre lì presente.Una pezza capace di risolvere davvero il problema una volta per tutte è già stata proposta ed è in corso di approvazione, mentre un exploit capace di sfruttare la vulnerabilità è già finito all'interno dell'arsenale open source di Metasploit.
Alfonso Maruccia
Fonte: Punto Informatico (http://punto-informatico.it/3513483/PI/News/php-cura-che-non-cura.aspx)