PHP, la cura che non cura

PHP, la cura che non cura

Una vulnerabilità nel linguaggio di scripting nota da mesi finisce inavvertitamente online, gli sviluppatori preparano una patch ma la pezza risulta inefficace e facilmente aggirabile
Una vulnerabilità nel linguaggio di scripting nota da mesi finisce inavvertitamente online, gli sviluppatori preparano una patch ma la pezza risulta inefficace e facilmente aggirabile

Ancora guai per PHP, il linguaggio di scripting che riveste un ruolo centrale nella pila LAMP (Linux, Apache, MySQL e appunto PHP) per le applicazioni web: una vulnerabilità nota da mesi viene resa pubblica e gli sviluppatori sono costretti a pubblicare una patch. Che però non risolve il problema.

La vulnerabilità, pubblicata su Reddit “per errore”, riguarda i server configurati in modalità CGI: usando una particolare sintassi per le stringhe delle query, un malintenzionato potrebbe impossessarsi del codice sorgente del sito o anche eseguire codice da remoto.

Con la “disclosure” della vulnerabilità – scoperta mesi fa ma presente in PHP da otto anni – il gruppo di lavoro di PHP ha rilasciato una patch “di corsa” per le versioni 5.3.12 e 5.4.2. Il risultato? La patch non funziona , le misure protettive integrate in PHP sono facilmente aggirabili e la vulnerabilità è sempre lì presente.

Una pezza capace di risolvere davvero il problema una volta per tutte è già stata proposta ed è in corso di approvazione, mentre un exploit capace di sfruttare la vulnerabilità è già finito all'interno dell'arsenale open source di Metasploit.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

07 05 2012
Link copiato negli appunti