Обнаруженная уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.
Вчера вышла новая версия PHP 5.3.10, которая, по существу, является патчем на патч. В декабре прошлого года стало известно об уязвимости, связанной с функциями генерации хеша при обработке HTTP POST запросов (CVE-2011-4885). Уязвимость позволяла удаленному пользователю произвести DoS атаку. В середине января вышло исправление безопасности (PHP 5.3.9), в котором эта уязвимость была устранена.
К сожалению, во время устранения ошибки, приводящей к отказу в обслуживании, в код были внесены изменения, которые позволяли злоумышленнику выполнить произвольный код на целевой системе.
SecurityLab рекомендует всем читателям, которые успели установить PHP 5.3.9, в кратчайшие сроки обновиться до PHP 5.3.10.
Подробное описание уязвимости доступно по адресу: http://www.securitylab.ru/vulnerability/419270.php
Одно найти легче, чем другое. Спойлер: это не темная материя