QR code per la pagina originale

Falla grave in PHP, già pronto l’update di sicurezza

Una molteplicità di problemi all'interno del mondo PHP ha fatto emergere una grave situazione di vulnerabilità tale per cui molti diffusi prodotti basati su tale linguaggio (quali ad esempio molti forum online) siano attualmente in grave pericolo.

,

Una situazione di grave vulnerabilità è stata comunicata in seno al bollettino Secunia SA13481 circa il linguaggio PHP. La situazione è di rischio «highly critical» ed i pericoli vanno dal bypass dei filtri di sicurezza all’accesso al sistema, passando così per tutti i rischi conseguenti quali ad esempio la pericolosa esposizione ad eventuali malintenzionati di informazioni sensibili.

La vulnerabilità è stata scoperta all’interno delle versioni PHP 4.3.x e PHP 5.0.x e comprende una molteplicità di bugs (Secunia ne elenca ben 10). La soluzione è già disponibile tramite l’installazione sollecita delle versioni 4.3.10 o 5.0.3. Il download è disponibile sul sito ufficiale PHP.

6 falle su 10 sono state scoperte da Stefan Esser (una delle quali in collaborazione con Marcus Boerger). La descrizione delle falle evidenzia una serie di problemi di memoria e di buffer overflow tali per cui la combinazione dei vari exploit è in grado di creare un cocktail ad altissima pericolosità, sia in locale che in remoto. Il comunicato ufficiale dell’autore della scoperta comunica come nessun proof-of-concept sia stato prodotto ma si segnala semplicemente come una molteplicità di prodotti basati su PHP possano essere in pericolo. Tra di questi può essere interessante segnalare i noti phpBB2, Invision Board, vBulletin o Serendipity Weblog.