PHP повторно устранила уязвимость раскрытия исходного кода
Разработчики PHP устранили дополнительные векторы эксплуатации уязвимости.
Группа разработчиков PHP выпустила второе в этом месяце обновление, в котором устранила уязвимость раскрытия важных данных, связанную с CGI надстройкой. Напомним, что эта уязвимость была обнаружена в ходе Nullcon CTF, когда стало известно, что строка запроса ?-s приводила к выполнению аргумента -s и раскрытию исходного кода. Дальнейший анализ показал, что уязвимость существовала в PHP приблизительно с 2004 года.
После того, как об уязвимости стало известно, производитель выпустил обновления безопасности 5.3.12 и 5.4.2. В скором времени стало известно, что эти обновления, а также инструкции по временному решению не полностью устраняют уязвимость, и существуют пути ее дальнейшей эксплуатации.
В ветке 5.4.х также была устранена уязвимость CVE-2012-2329, позволявшая вызвать переполнение буфера и скомпрометировать целевую систему.
С подробным описанием уязвимостей можно ознакомиться здесь:
http://www.securitylab.ru/vulnerability/424297.php
http://www.securitylab.ru/vulnerability/424111.php
Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!