Crepe in PHP, moltissimi i siti a rischio

Il celebre linguaggio open source contiene diverse falle più o meno gravi che preoccupano soprattutto per la grandissima diffusione di PHP. Pronte le patch

Roma – PHP, il celebre linguaggio di scripting open source utilizzato su milioni di server, ha diversi spifferi che potrebbero consentire ad un aggressore di eseguire codice arbitrario su di un sistema remoto o mandarlo in crash.

A lanciare l’allarme è stato uno degli stessi membri del team di sviluppo del PHP, Stefan Esser, che su di un bollettino di sicurezza divulgato attraverso e-Matters ha classificato queste vulnerabilità come ad alto rischio. Altri esperti sostengono però che per sfruttare la maggior parte di queste falle occorrono risorse e conoscenze alla portata di pochi.

I bug di sicurezza sarebbero contenuti nella funzione “php_mime_split” di PHP e riguarderebbero il modo in cui alcune versioni del linguaggio gestiscono le richieste di tipo “POST multipart/form-data”, anche conosciute come “fileuploads”. Le versioni di PHP vulnerabili sarebbero numerose, fra cui buona parte di quelle comprese fra la 3.10 e la 4.1.1.

Esser ha specificato che la maggior parte di queste falle affliggono soltanto le versioni di PHP che girano su Web server Linux o Solaris.

Per proteggersi da questi problemi il CERT, in un suo advisory , raccomanda agli amministratori di aggiornare PHP alla versione 4.1.2 o di scaricare le patch come descritto qui . Se non è possibile effettuare aggiornamenti, per le versioni di PHP pari o superiori alla 4.0.3 si può intervenire manualmente disabilitando la funzione “file_uploads” dal file php.ini .

Secondo il noto osservatorio Web di Netcraft al momento sarebbero circa 9 milioni i sistemi su cui gira il Web server Apache: fra questi, una larga maggioranza utilizzerebbe anche PHP.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    Lucas ... ?
    ciao, volevo chiederti se in realtà l'opinione del sig.bacchett. di questo messaggio http://punto-informatico.it/pol.asp?mid=1552&fid=34698non ti abbia in realtà bloccato ... davvero...non è che ti ha fatto smettere di recensire "tutto quello che ti pare" ?
    • Anonimo scrive:
      Re: Lucas ... ?
      - Scritto da: FAN
      ciao, volevo chiederti se in realtà
      l'opinione del sig.bacchett. di questo
      messaggio
      http://punto-informatico.it/pol.asp?mid=1552&

      non ti abbia in realtà bloccato ...
      davvero...ma scherziamo ?!?! ;)quel thread e' di 14 mesi fa.. !! ;)))la rubrica, a parte un fermo per cause di forza maggiore, e' sempre andata avanti ;)ciao!LucaS
  • Anonimo scrive:
    WE WILL WE WILL LOVE YOU (clap-clap)
    WE WILL WE WILL LOVE YOU (clap-clap)WE WILL WE WILL LOVE YOU (clap-clap)WE WILL WE WILL LOVE YOU (clap-clap)evereybodyWE WILL WE WILL LOVE YOU (clap-clap)WE WILL WE WILL LOVE YOU (clap-clap)WE WILL WE WILL LOVE YOU (clap-clap)(serie)poi alla fine assolo di brian maye via.GRAZIE LUCAS PER ESSERE TORNATO!!!!!!!GRAZIE amici per non censurare questo messaggio fuori di mela!
  • Anonimo scrive:
    Consiglio
    Provate Flasher (http://www.sinton.org/flasher), e' un programma freeware molto semplice, non necessita di installazione e permette di realizzare slideshow da impiegare come screensaver, con alcune comode opzioni.
  • Anonimo scrive:
    Il mio mito
    Luca, sei sempre er mejo... ;)
  • Anonimo scrive:
    Bravissimo Luca!!!
    :-)
Chiudi i commenti