Sony vulnerabile per colpa di PHP

Matteo Campofiorito,

Una brutta figura (l’ennesima diranno i maligni) per Sony. Un bug presente in PHP consente la visione integrale del codice sorgente delle pagine del sito help.station.sony.com. Solo ieri il team di sviluppo del noto linguaggio di programmazione Web aveva diffuso un advisory in cui si rendeva nota la vulnerabilità: puntuali oggi sono iniziati i primi “test” da parte di esperti di sicurezza, o semplici script kiddies, alla ricerca di siti vulnerabili, tra questi proprio quello di Sony (gruppo già pesantemente colpito dai problemi di sicurezza in occasione del famigerato attacco al PlayStation Network).

Per verificare se un sito è afflitto dal bug basta semplicemente apporre i caratteri “?-s” alla fine della URL. Nel caso di Sony non si ottengono informazioni critiche, ma comunque si ha accesso ai PATH assoluti dei file presenti sui webserver della multinazionale, un’informazione che potrebbe far gola a eventuali malintenzionati per sferrare attacchi. Una debolezza, in ogni caso, per un gruppo che su questo fronte ha già dimostrato la propria fragilità pagandola a caro prezzo.

Va detto altresì che la vulnerabilità è stata corretta dai programmatori di PHP con il rilascio di PHP 5.3.12 e PHP 5.4.2 e che riguarda soltanto particolari installazioni, quelle in cui il linguaggio di scripting viene eseguito grazie all’uso di mod_cgi in Apache, non sono affette invece tutte le recenti installazioni che sfruttano Apache+mod_php e nginx+php-fpm.

Notizie su
label
Rispondi alle domande