Sony vulnerabile per colpa di PHP

Matteo Campofiorito, 4 maggio 2012 18:01

Una brutta figura (l’ennesima diranno i maligni) per Sony. Un bug presente in PHP consente la visione integrale del codice sorgente delle pagine del sito help.station.sony.com. Solo ieri il team di sviluppo del noto linguaggio di programmazione Web aveva diffuso un advisory in cui si rendeva nota la vulnerabilità: puntuali oggi sono iniziati i primi “test” da parte di esperti di sicurezza, o semplici script kiddies, alla ricerca di siti vulnerabili, tra questi proprio quello di Sony (gruppo già pesantemente colpito dai problemi di sicurezza in occasione del famigerato attacco al PlayStation Network).

Per verificare se un sito è afflitto dal bug basta semplicemente apporre i caratteri “?-s” alla fine della URL. Nel caso di Sony non si ottengono informazioni critiche, ma comunque si ha accesso ai PATH assoluti dei file presenti sui webserver della multinazionale, un’informazione che potrebbe far gola a eventuali malintenzionati per sferrare attacchi. Una debolezza, in ogni caso, per un gruppo che su questo fronte ha già dimostrato la propria fragilità pagandola a caro prezzo.

Sony vulnerable to new PHP CGI bug – bit.ly/ILHjrs via @ochsff @AnthonySterling

— Ryan Dewhurst (@ethicalhack3r) Mag 4, 2012

Va detto altresì che la vulnerabilità è stata corretta dai programmatori di PHP con il rilascio di PHP 5.3.12 e PHP 5.4.2 e che riguarda soltanto particolari installazioni, quelle in cui il linguaggio di scripting viene eseguito grazie all’uso di mod_cgi in Apache, non sono affette invece tutte le recenti installazioni che sfruttano Apache+mod_php e nginx+php-fpm.

Leggi anche

Sony A99 e RX1, una nuova SLT e una full frame compatta

Un LulzSec arrestato per l’attacco a Sony

Sony: hacker rubano discografia e inediti di Michael Jackson

Sony, trafugati gli inediti di Michael Jackson

Facebook per PS Vita dà problemi agli utenti

PlayStation Network di nuovo sotto attacco cracker