首頁 | 討論區 | 最新話題 | 搜尋 | XML | 登入

此話題中所有文章數: 1 [ 話題狀態: 一般 ]

此文章已經觀看 4457 次而且有 0 篇回應

jieh 《騎士團團長》
文章: 6857
v3.8.8

PHP語言新舊版皆面臨資安危機

完整新聞 2005-11-2/ CPRO編譯/ 撰文

......

PHP 4.x版本目前依舊被廣泛的使用與部署（甚至可以說目前比PHP第五版用的更為普遍）。PHP 第四版與第五版被廣泛的部署在無數的網站與應用程式上做為LAMP（Linux/Apache/MySQL/PHP）堆疊的核心元件之一。

PHP資安小組，或稱之為PHP強化計畫（Hardened-PHP Project），今天報告了PHP4.x與5.x版本有許多的漏洞威脅，可能會在網站的運作上遭受拒絕服務的攻擊方式。

另外一項可能的風險為：跨網站的描述語言攻擊與其他規避資訊安全檢查的弱點，都可能讓惡意的使用者進行未經授權的存取動作。在最新的PHP 4.4.1版本更新的記錄當中也指出了修正的資訊安全問題；而在資安問題之外，更新紀錄也提到了4.4.1版本同時修正了35個其他的問題。

照PHP強化計畫的資料，其中一個嚴重的弱點就是在「廣域」（GLOBALS）陣列的一項錯誤將會導致異常的覆寫動作，可能會給予遠端未經授權程式碼的執行能力。

另外，在phpinfo()函式也有跨網站描述語言的弱點，這是一個常用的命令，用來輸出特定的PHP安裝資訊，不過現在也被列在風險名單之上。同樣的，由Common Vulnerabilities and Exposures（CVE）在CAN-2005-2491所指出的潛在整數的溢位弱點，也在修正名單之列。

PHP開發團隊（php.net）今天也發佈了4.4.1版本，修正了在PHP4.x版本的問題。然而PHP5.05的最新穩定版本才正要進行修正。所以，PHP強化計畫的Stefan Esser宣稱目前PHP5.05的使用者可能正在承受風險。

Esser建議PHP的使用者採用他們公司的「強化修正」（Hardening-Patch）來進一步增強安裝PHP的安全性。

Esser在接受internetnews.com的記者訪問時指出：「目前並不確定是不是會有PHP 5.06版本的發佈，或是直接建議使用者升級到預計在十一月十日公布的PHP 5.1.0版本。確定的是有解決這些弱點的PHP 5.1.0公佈預定版本4且提供給許多使用者測試中，以加快PHP5.1.0的推出。」

聽了這麼多 asp php 的攻擊事件 J2EE 還沒被列入攻擊範圍可以高興嗎?

good luck

----------------------------------------
支持小惡魔
BTC : 19tn3RnCuwZVukXAwyhDWZD4uBgUZoGJPx
LTC : LTFa17pSvvoe3aU5jbmfcmEpo1xuGa9XeA
知識跟八卦一樣，越多人知道越有價值；知識最好的備份方法，散播！
藍色小惡魔(林永傑)：臉書
----------------------------------------
[編輯文章 1 次, 最後修改： jieh 於 2005/11/13 下午 08:53:22]

[2005/11/13 下午 02:00:55]

[返迴此篇文章頂端 ]