В PHP устранена существовавшая с 2004 года уязвимость

В PHP устранена существовавшая с 2004 года уязвимость

Уязвимость позволяет раскрыть исходный код и скомпрометировать систему.

Исследователи безопасности обнаружили опасную уязвимость в CGI настройке PHP, которая позволяет удаленному пользователю скомпрометировать целевую систему и раскрыть исходный код реализации продукта. Уязвимость была обнаружена в ходе работы с Nullcon CTF, когда было обнаружено, что строка запроса ?-s приводила к выполнению аргумента -s и раскрытию исходного кода. Дальнейший анализ показал, что уязвимость существовала в PHP приблизительно с 2004 года.

О существовании уязвимости стало известно в январе этого года, после чего о ней были уведомлены разработчики PHP. В начале февраля об уязвимости узнала организация US-CERT, которая начала следить за ходом подготовки исправления.

3 мая были представлены релизы PHP версий 5.3.12 и 5.4.2, в которых уязвимость CVE-2012-1823 была устранена. Для системных администраторов, которые не желают устанавливать новую версию продукта производитель в качестве временного решения предлагает воспользоваться правилом mod_rewrite:

RewriteCond %{QUERY_STRING} ^(%2d|-)[^=]+$ [NC]
RewriteRule ^(.*) $1? [L]

С подробным описанием уязвимости можно ознакомиться по адресу:
http://www.securitylab.ru/vulnerability/424111.php

Наш канал защищен лучше, чем ваш компьютер!

Но доступ к знаниям открыт для всех

Получите root-права на безопасность — подпишитесь