PHP, la cura che non cura

Una vulnerabilità nel linguaggio di scripting nota da mesi finisce inavvertitamente online, gli sviluppatori preparano una patch ma la pezza risulta inefficace e facilmente aggirabile
Una vulnerabilità nel linguaggio di scripting nota da mesi finisce inavvertitamente online, gli sviluppatori preparano una patch ma la pezza risulta inefficace e facilmente aggirabile

Ancora guai per PHP, il linguaggio di scripting che riveste un ruolo centrale nella pila LAMP (Linux, Apache, MySQL e appunto PHP) per le applicazioni web: una vulnerabilità nota da mesi viene resa pubblica e gli sviluppatori sono costretti a pubblicare una patch. Che però non risolve il problema.

La vulnerabilità, pubblicata su Reddit “per errore”, riguarda i server configurati in modalità CGI: usando una particolare sintassi per le stringhe delle query, un malintenzionato potrebbe impossessarsi del codice sorgente del sito o anche eseguire codice da remoto.

Con la “disclosure” della vulnerabilità – scoperta mesi fa ma presente in PHP da otto anni – il gruppo di lavoro di PHP ha rilasciato una patch “di corsa” per le versioni 5.3.12 e 5.4.2. Il risultato? La patch non funziona , le misure protettive integrate in PHP sono facilmente aggirabili e la vulnerabilità è sempre lì presente.

Una pezza capace di risolvere davvero il problema una volta per tutte è già stata proposta ed è in corso di approvazione, mentre un exploit capace di sfruttare la vulnerabilità è già finito all’interno dell’arsenale open source di Metasploit.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

07 05 2012
Link copiato negli appunti