• Обратная связь: [email protected]

    Наш канал в telegram: https://t.me/ru_sfera

    Группа VK: https://vk.com/rusfera

    Пользователи могут писать на форуме ТОЛЬКО ЧЕРЕЗ 7 ДНЕЙ после регистрации

В PHP устранена существовавшая с 2004 года уязвимость


X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 199
Репутация
8 332
Уязвимость позволяет раскрыть исходный код и скомпрометировать систему.

Исследователи безопасности обнаружили опасную уязвимость в CGI настройке PHP, которая позволяет удаленному пользователю скомпрометировать целевую систему и раскрыть исходный код реализации продукта. Уязвимость была обнаружена в ходе работы с Nullcon CTF, когда было обнаружено, что строка запроса ?-s приводила к выполнению аргумента -s и раскрытию исходного кода. Дальнейший анализ показал, что уязвимость существовала в PHP приблизительно с 2004 года.

О существовании уязвимости стало известно в январе этого года, после чего о ней были уведомлены разработчики PHP. В начале февраля об уязвимости узнала организация US-CERT, которая начала следить за ходом подготовки исправления.

3 мая были представлены релизы PHP версий 5.3.12 и 5.4.2, в которых уязвимость CVE-2012-1823 была устранена. Для системных администраторов, которые не желают устанавливать новую версию продукта производитель в качестве временного решения предлагает воспользоваться правилом mod_rewrite:

RewriteCond %{QUERY_STRING} ^(%2d|-)[^=]+$ [NC]
RewriteRule ^(.*) $1? [L]

 
Верх Низ