В PHP устранена существовавшая с 2004 года уязвимость

Тема в разделе "Новости и статьи IT безопасности", создана пользователем X-Shar, 12 июн 2012.

↑ ↓
  1. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Уязвимость позволяет раскрыть исходный код и скомпрометировать систему.

    Исследователи безопасности обнаружили опасную уязвимость в CGI настройке PHP, которая позволяет удаленному пользователю скомпрометировать целевую систему и раскрыть исходный код реализации продукта. Уязвимость была обнаружена в ходе работы с Nullcon CTF, когда было обнаружено, что строка запроса ?-s приводила к выполнению аргумента -s и раскрытию исходного кода. Дальнейший анализ показал, что уязвимость существовала в PHP приблизительно с 2004 года.

    О существовании уязвимости стало известно в январе этого года, после чего о ней были уведомлены разработчики PHP. В начале февраля об уязвимости узнала организация US-CERT, которая начала следить за ходом подготовки исправления.

    3 мая были представлены релизы PHP версий 5.3.12 и 5.4.2, в которых уязвимость CVE-2012-1823 была устранена. Для системных администраторов, которые не желают устанавливать новую версию продукта производитель в качестве временного решения предлагает воспользоваться правилом mod_rewrite:

    RewriteCond %{QUERY_STRING} ^(%2d|-)[^=]+$ [NC]
    RewriteRule ^(.*) $1? [L]

    Источник
     

Поделиться этой страницей