JohnnyCage
Védtelenül hagyja a webszervereket a script hiba
Egy biztonsági hiba a közismert PHP scriptnyelvben lehetővé teszi a támadók számára, hogy megtámadják, és akár össze is omlasszák a világ potenciálisan veszélyeztetett, mintegy 9 millió webszerverének bármelyikét.
A probléma az Apache, és egyéb web szoftvert alkalmazó webszervereket egyaránt érinti.
A PHP technikai csoportjának egyik tagja szerdán figyelmeztette a webes fejlesztőket a problémáról, amelynek kihasználásához már jelenleg is létezhet eszköz a hackerek körében, szerencsére azonban kevesen rendelkeznek a támadáshoz szükséges erőforrásokkal. "Valójában nem könnyű végrehajtani a támadást" - mondta Johannes Ullrich, a SANS (System Administration, Networking, and Security) Internet Storm Center központjának technikai vezetője, aki rendelkezik a biztonsági rést szemléltető programmal.
A PHP script nyelv, amely többek között olyan webszerverek alá telepíthető fel, mint az Apache, a Microsoft-féle Internet Information Server (IIS), és az iPlanet, lehetővé teszi a szervereken a futás közbeni weboldal készítést egy információs adatbázisból. Mint azonban kiderült, a PHP különféle változatai tartalmaznak néhány biztonsági rést.
A Netcraft internetes piackutató cég szerint a webszerverek mintegy 64 százaléka, azaz hozzávetőleg 9 millió alkalmazza az Apache web szoftvert. A script nyelv népszerűsége miatt azonban az Apache-alapú szerverek döntő többségére a PHP is felkerült.
Bár a biztonsági rés a PHP nyelvben található, a jelentések szerint csak a Linux-, illetve Solaris-alapú szerverek fenyegetettek a probléma következtében, áll a német e-Matters közleményében. A szoftveróriás Microsoft Internet Information Server web szoftvere, amely a múltban számtalan éles kritikát kapott biztonsági hibái miatt, ezúttal nem bizonyult sebezhetőnek még akkor sem, ha alkalmazza a PHP-t.
A heap overflow hibákból, és problémás határellenőrzésekből álló biztonsági rések segítségével a hackerek összeomlaszthatják a sebezhető webszervereket, és akár teljes hozzáférést is szerezhetnek azokhoz. A különféle problémák a PHP 3.10 és 4.1.1 közötti verzióit érintik. Ullrich, illetve a PHP weboldala a Linux-, és Solaris-alapú webszerverek üzemeltetőinek javasolja a PHP legújabb, 4.1.2-es verziójának alkalmazását, amely mentes a napokban nyilvánosságra hozott problémáktól.
A probléma az Apache, és egyéb web szoftvert alkalmazó webszervereket egyaránt érinti.
A PHP technikai csoportjának egyik tagja szerdán figyelmeztette a webes fejlesztőket a problémáról, amelynek kihasználásához már jelenleg is létezhet eszköz a hackerek körében, szerencsére azonban kevesen rendelkeznek a támadáshoz szükséges erőforrásokkal. "Valójában nem könnyű végrehajtani a támadást" - mondta Johannes Ullrich, a SANS (System Administration, Networking, and Security) Internet Storm Center központjának technikai vezetője, aki rendelkezik a biztonsági rést szemléltető programmal.
A PHP script nyelv, amely többek között olyan webszerverek alá telepíthető fel, mint az Apache, a Microsoft-féle Internet Information Server (IIS), és az iPlanet, lehetővé teszi a szervereken a futás közbeni weboldal készítést egy információs adatbázisból. Mint azonban kiderült, a PHP különféle változatai tartalmaznak néhány biztonsági rést.
A Netcraft internetes piackutató cég szerint a webszerverek mintegy 64 százaléka, azaz hozzávetőleg 9 millió alkalmazza az Apache web szoftvert. A script nyelv népszerűsége miatt azonban az Apache-alapú szerverek döntő többségére a PHP is felkerült.
Bár a biztonsági rés a PHP nyelvben található, a jelentések szerint csak a Linux-, illetve Solaris-alapú szerverek fenyegetettek a probléma következtében, áll a német e-Matters közleményében. A szoftveróriás Microsoft Internet Information Server web szoftvere, amely a múltban számtalan éles kritikát kapott biztonsági hibái miatt, ezúttal nem bizonyult sebezhetőnek még akkor sem, ha alkalmazza a PHP-t.
A heap overflow hibákból, és problémás határellenőrzésekből álló biztonsági rések segítségével a hackerek összeomlaszthatják a sebezhető webszervereket, és akár teljes hozzáférést is szerezhetnek azokhoz. A különféle problémák a PHP 3.10 és 4.1.1 közötti verzióit érintik. Ullrich, illetve a PHP weboldala a Linux-, és Solaris-alapú webszerverek üzemeltetőinek javasolja a PHP legújabb, 4.1.2-es verziójának alkalmazását, amely mentes a napokban nyilvánosságra hozott problémáktól.