В PHP устранена существовавшая с 2004 года уязвимость

image

Теги: PHP, уязвимость, US-CERT

Уязвимость позволяет раскрыть исходный код и скомпрометировать систему.

Исследователи безопасности обнаружили опасную уязвимость в CGI настройке PHP, которая позволяет удаленному пользователю скомпрометировать целевую систему и раскрыть исходный код реализации продукта. Уязвимость была обнаружена в ходе работы с Nullcon CTF, когда было обнаружено, что строка запроса ?-s приводила к выполнению аргумента -s и раскрытию исходного кода. Дальнейший анализ показал, что уязвимость существовала в PHP приблизительно с 2004 года.

О существовании уязвимости стало известно в январе этого года, после чего о ней были уведомлены разработчики PHP. В начале февраля об уязвимости узнала организация US-CERT, которая начала следить за ходом подготовки исправления.

3 мая были представлены релизы PHP версий 5.3.12 и 5.4.2, в которых уязвимость CVE-2012-1823 была устранена. Для системных администраторов, которые не желают устанавливать новую версию продукта производитель в качестве временного решения предлагает воспользоваться правилом mod_rewrite:

RewriteCond %{QUERY_STRING} ^(%2d|-)[^=]+$ [NC]
RewriteRule ^(.*) $1? [L]

С подробным описанием уязвимости можно ознакомиться по адресу:
http://www.securitylab.ru/vulnerability/424111.php


или введите имя

CAPTCHA
жук
04-05-2012 13:49:34
Какой-то не очень страшный баг, я давно не видел сайтов на mod_cgi, сейчас везде fastcgi используется. Немного погуглив так и не нашел уязвимых сайтов...
0 |