Возврат
ТелекомВести

Предыдущая новость4 марта 2002 г.



CERT: Технология РНР содержит ошибки


1 марта ("Телеком-Форум")

Координационный центр по вопросам компьютерной безопасности CERT сообщил об обнаружении ряда серьезных ошибок в языке программирования PHP-скриптов, с помощью которых хакеры могут загрузить на Web-сервер и запустить на исполнение собственный программный код. По данным исследовательской компании Netcraft, в Internet насчитывается 8,4 млн. серверов с установленной поддержкой технологии РНР, однако уязвимыми являются около 1 млн. Web-сайтов, использующие соответствующие скрипты для формирования динамических HTML-страниц. Следует отметить, что РНР является проектом организации Apache Software Foundation, разработавшей самую популярную на сегодняшний день серверную ОС - согласно данным Netcraft под управлением Apache работают около 58% всех Web-ресурсов.

Брешь была обнаружена германской компанией e-Matters, являющейся одной из участников команды разработчиков РНР. Согласно данным e-Matters, основная ошибка кроется в функции "php_mime_split", служащей для обработки POST-запросов и позволяющей удаленно загружать на сервер введенные пользователем данные. Большинство установленных серверов с поддержкой РНР работают под управлением Apache, однако, данный язык поддерживается и большинством других Web-систем, такими как IIS, Caudium, iPlanet и OmniHTTPd. Специалисты CERT настоятельно рекомендуют скачать "заплатку" для обнаруженной бреши или установить новую версию PHP 4.1.2, доступную на сервере http://www.php.net.

Netcraft

http://www.netcraft.com

Дополнительная информация

Бесплатная утилита для проверки маршрутизаторов Cisco (22 февраля 2002 г.)

Качайте PHP-Accelerator 1.2 (23 января 2002 г.)

Windows XP оказалась "дырявой" (21 декабря 2001 г.)

Очередная "заплатка" для Internet Explorer (20 ноября 2001 г.)

Проблемы Internet Explorer (4 октября 2001 г.)

Дырка в Cisco IOS (2 июля 2001 г.)

Брешь в серверном ПО Microsoft (22 июня 2001 г.)

Internet Explorer может скрывать опасные файлы (20 апреля 2001 г.)