Una situazione di grave vulnerabilità è stata comunicata in seno al bollettino Secunia SA13481 circa il linguaggio PHP. La situazione è di rischio «highly critical» ed i pericoli vanno dal bypass dei filtri di sicurezza all’accesso al sistema, passando così per tutti i rischi conseguenti quali ad esempio la pericolosa esposizione ad eventuali malintenzionati di informazioni sensibili.
La vulnerabilità è stata scoperta all’interno delle versioni PHP 4.3.x e PHP 5.0.x e comprende una molteplicità di bugs (Secunia ne elenca ben 10). La soluzione è già disponibile tramite l’installazione sollecita delle versioni 4.3.10 o 5.0.3. Il download è disponibile sul sito ufficiale PHP.
6 falle su 10 sono state scoperte da Stefan Esser (una delle quali in collaborazione con Marcus Boerger). La descrizione delle falle evidenzia una serie di problemi di memoria e di buffer overflow tali per cui la combinazione dei vari exploit è in grado di creare un cocktail ad altissima pericolosità, sia in locale che in remoto. Il comunicato ufficiale dell’autore della scoperta comunica come nessun proof-of-concept sia stato prodotto ma si segnala semplicemente come una molteplicità di prodotti basati su PHP possano essere in pericolo. Tra di questi può essere interessante segnalare i noti phpBB2, Invision Board, vBulletin o Serendipity Weblog.
/https://www.webnews.it/app/uploads/2024/04/ExpressVPN-1.jpg)
/https://www.webnews.it/app/uploads/2024/04/48-2-9.jpg)
/https://www.webnews.it/app/uploads/2024/04/nordvpn-app-cellulare.jpg)
/https://www.webnews.it/app/uploads/2024/04/48-83.jpg)