PHP Group выпустила обновленные версии PHP с несколькими исправленными ошибками, одна из которых позволяла взламывать веб-серверы.

Сообщество программистов PHP Group выпустило версии PHP 4.3.10 и 5.0.3. Два программных обновления призваны исправить критические пробелы в защите, позволявшие злоумышленникам атаковать серверы, в которых используется язык программирования веб-страниц PHP.

«Всем пользователям PHP рекомендуется как можно быстрее перейти на одну из этих версий», — говорится в рекомендации на веб-сайте группы.

Наиболее опасная уязвимость связана с функцией, используемой для упаковки данных при их сохранении. Используя эту ошибку, злоумышленник может перехватить контроль над веб-сервером, исполняющим уязвимую версию РНР: Hypertext Preprocessing (PHP), утверждает группа Hardened-PHP, обнаружившая проблему.

PHP (Personal Home Page) состоит из языка сценариев для сервера, который можно встраивать в веб-страницы с целью создания динамического контента, и обрабатывающей программы, исполняющей эти команды. На РНР написаны многие программы для создания веб-журналов (блогов) и приложения управления контентом.

Язык РНР может применяться для управления контентом путем обращения к базам данных с целью создания веб-страниц в ответ на запросы посетителей. Обычно веб-страница содержит элементы кода РНР, который исполняется каждый раз при обращении посетителя к этой странице. Код вызывает отображение на странице контента, часто извлекая его из базы данных, в которой содержатся статьи, изображения или персонализированные настройки.

Кроме критической ошибки, Hardened-PHP обнаружила в РНР еще шесть уязвимостей. Группа разработала также собственную версию PHP с усиленной защитой и выпустила полностью исправленную версию системы с дополнительными мерами безопасности.

Обновления PHP Group, в которых с исправлены эти уязвимости и несколько более мелких огрехов, опубликованы на веб-сайте группы.

Роберт Лемос (Robert Lemos), CNET News.com

20 декабря, 2004, 14:37

ZDNET Россия