[NEWS] PHP, la cura che non cura

c.m.g · 08-05-2012, 09:22

lunedì 7 maggio 2012

Spoiler:

Quote:

Una vulnerabilità nel linguaggio di scripting nota da mesi finisce inavvertitamente online, gli sviluppatori preparano una patch ma la pezza risulta inefficace e facilmente aggirabile

Roma - Ancora guai per PHP, il linguaggio di scripting che riveste un ruolo centrale nella pila LAMP (Linux, Apache, MySQL e appunto PHP) per le applicazioni web: una vulnerabilità nota da mesi viene resa pubblica e gli sviluppatori sono costretti a pubblicare una patch. Che però non risolve il problema.

La vulnerabilità, pubblicata su Reddit "per errore", riguarda i server configurati in modalità CGI: usando una particolare sintassi per le stringhe delle query, un malintenzionato potrebbe impossessarsi del codice sorgente del sito o anche eseguire codice da remoto.

Con la "disclosure" della vulnerabilità - scoperta mesi fa ma presente in PHP da otto anni - il gruppo di lavoro di PHP ha rilasciato una patch "di corsa" per le versioni 5.3.12 e 5.4.2. Il risultato? La patch non funziona, le misure protettive integrate in PHP sono facilmente aggirabili e la vulnerabilità è sempre lì presente.Una pezza capace di risolvere davvero il problema una volta per tutte è già stata proposta ed è in corso di approvazione, mentre un exploit capace di sfruttare la vulnerabilità è già finito all'interno dell'arsenale open source di Metasploit.

Alfonso Maruccia

Fonte: Punto Informatico

c.m.g · 11-05-2012, 08:47

PHP, nuova pezza anti-vulnerabilità su punto informatico

11-05-2012, 08:47	#2
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22121	PHP, nuova pezza anti-vulnerabilità su punto informatico __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

Strumenti
Mostra una versione stampabile Invia questa pagina per email