Критическая уязвимость в PHP 5.3.9

image

Теги: уязвимость, PHP, патч

Обнаруженная уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.

Вчера вышла новая версия PHP 5.3.10, которая, по существу, является патчем на патч. В декабре прошлого года стало известно об уязвимости, связанной с функциями генерации хеша при обработке HTTP POST запросов (CVE-2011-4885). Уязвимость позволяла удаленному пользователю произвести DoS атаку. В середине января вышло исправление безопасности (PHP 5.3.9), в котором эта уязвимость была устранена.

К сожалению, во время устранения ошибки, приводящей к отказу в обслуживании, в код были внесены изменения, которые позволяли злоумышленнику выполнить произвольный код на целевой системе.

SecurityLab рекомендует всем читателям, которые успели установить PHP 5.3.9, в кратчайшие сроки обновиться до PHP 5.3.10.

Подробное описание уязвимости доступно по адресу: http://www.securitylab.ru/vulnerability/419270.php


comments powered by Disqus