PHP Group выпустила обновленные версии PHP с несколькими исправленными ошибками, одна из которых позволяла взламывать веб-серверы.
Сообщество программистов PHP Group выпустило версии PHP 4.3.10 и 5.0.3. Два программных обновления призваны исправить критические пробелы в защите, позволявшие злоумы
ленникам атаковать серверы, в которых используется язык программирования веб-страниц PHP.
“Всем пользователям PHP рекомендуется как можно быстрее перейти на одну из этих версий”, – говорится в рекомендации на веб-сайте группы.
Наиболее опасная уязвимость связана с функцией, используемой для упаковки данных при их сохранении. Используя эту ошибку, злоумышленник может перехватить контроль над веб-сервером, исполняющим уязвимую версию РНР: Hypertext Preprocessing (PHP), утверждает группа Hardened-PHP, обнаружившая проблему.
PHP (Personal Home Page) состоит из языка сценариев для сервера, который можно встраивать в веб-страницы с целью создания динамического контента, и обрабатывающей программы, исполняющей эти команды. На РНР написаны многие программы для создания веб-журналов (блогов) и приложения управления контентом.
Язык РНР может применяться для управления контентом путем обращения к базам данных с целью создания веб-страниц в ответ на запросы посетителей. Обычно веб-страница содержит элементы кода РНР, который исполняется каждый раз при обращении посетителя к этой странице. Код вызывает отображение на странице контента, часто извлекая его из базы данных, в которой содержатся статьи, изображения или персонализированные настройки.
Кроме критической ошибки, Hardened-PHP обнаружила в РНР еще шесть уязвимостей (http://www.hardened-php.net/advisories/012004.txt). Группа разработала также собственную версию PHP с усиленной защитой и выпустила полностью исправленную версию системы с дополнительными мерами безопасности.
Обновления PHP Group, в которых с исправлены эти уязвимости и несколько более мелких огрехов, опубликованы на веб-сайте группы – http://www.php.net/.