Php è vulnerabile, ma è pronta una patch

È stato lo stesso Php Group a comunicare il problema di sicurezza, assicurando di aver approntato il software che corregge il baco appena individuato.

Il linguaggio macro Php, comunemente utilizzato per gli script eseguiti sui server di Internet, è a rischio di vulnerabilità. Lo hanno riferito in un comunicato ufficiale i membri del Php Group, incaricato di controllare lo sviluppo del linguaggio. Il gruppo ha subito approntato il software che corregge il baco appena individuato. Php rappresenta uno dei più recenti progressi in materia di programmazione macro e va a rimpiazzare alcune delle funzionalità che erano state relegate nell’ambito della programmazione Perl o Cgi all’epoca della prima fase di Internet. Oggi, secondo l’istituto di ricerche NetCraft, Php viene utilizzato da 9 milioni di domini Internet e su 1,2 milioni di singoli indirizzi Ip. Un altro ricercatore, Security Space, afferma che Php è li più popolare tra i plug-in previsti per la piattaforma di Web serving Apache, con 2,1 milioni di server coperti, pari a quasi il 40% del campione osservato. Al confronto, un linguaggio come Perl aveva raggiunto il 30% dei server nel giugno 2000. Subito dopo seguono estensioni come OpenSSL, mod_ssl e FrontPage.

Il Php Group ha spiegato che le vulnerabilità sono state evidenziate nelle versioni 4.2.0 e 4.2.1 del linguaggio e che il punto debole può essere sfruttato per ottenere l’esecuzione di un codice arbitrario allo stesso livello di privilegio impostato sul Web server. Questa vulnerabilità potrebbe consentire la violazione o il blocco del server, e in alcuni casi potrebbe garantire all’intruso un accesso privilegiato all’intero sistema. Nel dettaglio, Php contiene un codice per il parsing delle intestazioni delle richieste HTTP POST ed è proprio questo parser a mostrare qualche insufficienza a livello dei controlli dell’input, e può commettere errori nel distinguere le variabili trasmesse da Php e i file, che vengono utilizzati dagli hacker per inserire interi file in un server facendoli poi eseguire.

Le versioni Ia-32 di Php per Linux sono state modificate e verificate per bloccare l’esecuzione di queste porzioni di codice indesiderate, mentre altre versioni sono ancora in fase di testing. In ogni caso, le aziende che utilizzano Php sono invitate ad aggiornare il linguaggio alla versione 4.2.2 o a disattivare la funzione di HTTP POST fino a upgrade effettuato.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome