Брешь позволяет удаленно скомпрометировать целевую систему с помощью вредоносного X.509 сертификата.
В Git-репозитории популярного языка программирования PHP появилось исправление безопасности для критической уязвимости, позволяющей потенциальному злоумышленнику удаленно выполнить произвольный код на атакуемой системе. Как следует из уведомления , случаи эксплуатации бреши до выхода обновления зафиксированы не были.
Уязвимость была обнаружена независимым консультантом по вопросам информационной безопасности Стефаном Эссером (Stefan Esser). Эксперт выяснил, что в одной из функций PHP содержится ошибка работы с буфером, проявляющаяся в процессе обработки X.509 сертификатов.
Брешь затрагивает сразу три ветки PHP: 5.3.27, 5.4.22, 5.5.6 и их более ранние версии. Подробное описание уязвимости доступно по адресу: http://www.securitylab.ru/vulnerability/448492.php
Напомним, что в конце октября этого года администрация web-сайта php.net сбросила пароли своих пользователей, что было сделано в качестве меры предосторожности после хакерской атаки на ресурс. Как сообщалось, ни Git-репозитории, ни загрузочные архивы в ходе инцидента не пострадали.
Гравитация научных фактов сильнее, чем вы думаете