04-05-2012, 00:50
Спустя чуть больше недели разработчики PHP Group выпустили очередное обновление интерпретатора PHP версии 5.3.12 и 5.4.2. Обновление устраняет критическую уязвимость CVE-2012-1823 в модуле PHP-CGI, связанную с передачей и обработкой параметров веб-скрипта. Дело в том, что когда PHP установлен как CGI расширение, злоумышленник может изменить параметр вызова интерпретатора, через модификацию URL. Например, "index.php?-s" позволит просмотреть исходный код "index.php". Таким образом, происходит как минимум утечка исходного кода, а как максимум пароли, например от БД и прочие ключи авторизации, указываемые в коде. Новые версии PHP доступны для загрузки на веб-сайте разработчиков. В качестве временной меры, до установки исправленной версии, разработчики PHP рекомендуют прописать условие в ".htaccess" с блокировкой запросов, содержащих модификатор выполнения интерпретатора.
Опубликовано: 03-05-2012
Подробнее: http://uinc.ru/news/oa572.html
Опубликовано: 03-05-2012
Подробнее: http://uinc.ru/news/oa572.html