Crepe in PHP, moltissimi i siti a rischio

Il celebre linguaggio open source contiene diverse falle più o meno gravi che preoccupano soprattutto per la grandissima diffusione di PHP. Pronte le patch

Roma - PHP, il celebre linguaggio di scripting open source utilizzato su milioni di server, ha diversi spifferi che potrebbero consentire ad un aggressore di eseguire codice arbitrario su di un sistema remoto o mandarlo in crash.

A lanciare l'allarme è stato uno degli stessi membri del team di sviluppo del PHP, Stefan Esser, che su di un bollettino di sicurezza divulgato attraverso e-Matters ha classificato queste vulnerabilità come ad alto rischio. Altri esperti sostengono però che per sfruttare la maggior parte di queste falle occorrono risorse e conoscenze alla portata di pochi.

I bug di sicurezza sarebbero contenuti nella funzione "php_mime_split" di PHP e riguarderebbero il modo in cui alcune versioni del linguaggio gestiscono le richieste di tipo "POST multipart/form-data", anche conosciute come "fileuploads". Le versioni di PHP vulnerabili sarebbero numerose, fra cui buona parte di quelle comprese fra la 3.10 e la 4.1.1.
Esser ha specificato che la maggior parte di queste falle affliggono soltanto le versioni di PHP che girano su Web server Linux o Solaris.

Per proteggersi da questi problemi il CERT, in un suo advisory, raccomanda agli amministratori di aggiornare PHP alla versione 4.1.2 o di scaricare le patch come descritto qui. Se non è possibile effettuare aggiornamenti, per le versioni di PHP pari o superiori alla 4.0.3 si può intervenire manualmente disabilitando la funzione "file_uploads" dal file php.ini.

Secondo il noto osservatorio Web di Netcraft al momento sarebbero circa 9 milioni i sistemi su cui gira il Web server Apache: fra questi, una larga maggioranza utilizzerebbe anche PHP.
92 Commenti alla Notizia Crepe in PHP, moltissimi i siti a rischio
Ordina
  • Visto che mi si cancellano i post io riposto. Nessun problema. Questo è un discorso che è valido per 6 ore. Tanto ci ha messo la comunità informatica a tappare la falla.
    A volte penso che esistano tanti che non hanno capito il senso del open source. Vorrei ricordare che il problema è stato portato agli occhi di tutti da uno sviluppatore e non ha prodotto danni a differenza di quello che avviene con altri prodotti con cui prima ci sono i danni e poi dopo, molto dopo le patch delle patch della patch.

    [27-Feb-2002] Due to a security issue found in all versions of PHP (including 3.x and 4.x), a new version of PHP has been released. Details about the security issue are available here. All users of PHP are strongly encouraged to either upgrade to PHP 4.1.2, or install the patch (available for PHP 3.0.18, 4.0.6 and 4.1.0/4.1.1). [fonte www.php.net ]
    non+autenticato
  • Al di la' di tanti discorsi, mi pare pero' che la politica di segnalazione dei bug della comunita' open source sia piu' efficiente di quella M$.

    Invece di nascondere tanto i problemi, e' stato subito postato un bollettino di segnalazione, e pubblicizzato il piu' possibile. Solo due ore dopo l'advisory gia' tutti i server che io gestisco erano upgradati e (spero) sicuri.

    O forse era meglio che tenessero nascosto il problema e al limite lo correggessero per la prossima versione senza dir niente a nessuno, come invece fa qualcun altro?
    non+autenticato
  • [27-Feb-2002] Due to a security issue found in all versions of PHP (including 3.x and 4.x), a new version of PHP has been released. Details about the security issue are available here. All users of PHP are strongly encouraged to either upgrade to PHP 4.1.2, or install the patch (available for PHP 3.0.18, 4.0.6 and 4.1.0/4.1.1).

    Fonte : www.php.net
    non+autenticato
  • Pare che un coltello affilato, qualora cadesse nelle mani di un malintenzionato, potrebbe trasformare quest'ultimo in un potenziale assassino.

    Stanno gia' approntando la patch: lame di plastica.
    non+autenticato

  • Questo significa che la grande Microsoft domina
    e dominerà sempre, perchè i migliori sono destinati a vincere.
    Del resto la concorrenza è piccola come unix linux & co. e tutti i suoi utenti, del resto perdenti in partenza, e questo bug è la prova, molto più grave di quanto lo si vuole far credere.

    Non sono qui per dire non usate quello o questo, ma se siete dei vincenti state sicuramente usando prodotti Microsoft, gli altri forse non sapranno nemmeno leggere questo messaggio in quanto perdenti.

    Saluti


    non+autenticato
  • Schifosamente idiota e fuori luogo. Non meriti di stare davanti a un pc..
    non+autenticato
  • quello che hai detto è cosa buona è giusta alla faccia degli open linux bsdari
    non+autenticato
  • Peccato che M$ usi sui suoi server mission critical da Hotmail ad altri semisconosciuti BSD, Solaris, Linux come o.s., ma anche Qmail e Sendmail.
    Quindi i perdenti sono M$ e chi ne usa i prodotti!
    non+autenticato
  • ...spera, spera....
    chi vive sperando......
    da....la notte dei tempi.

    spegni la luce e dormi ancora.

    - Scritto da: Malcom
    >
    > Questo significa che la grande Microsoft
    > domina
    > e dominerà sempre, perchè i migliori sono
    > destinati a vincere.

    > Del resto la concorrenza è piccola come unix
    > linux & co. e tutti i suoi utenti, del resto
    > perdenti in partenza, e questo bug è la
    > prova, molto più grave di quanto lo si vuole
    > far credere.
    >
    > Non sono qui per dire non usate quello o
    > questo, ma se siete dei vincenti state
    > sicuramente usando prodotti Microsoft, gli
    > altri forse non sapranno nemmeno leggere
    > questo messaggio in quanto perdenti.
    >
    > Saluti
    >
    >
    non+autenticato
  • non è una speranza è una certezza
    non+autenticato


  • - Scritto da: microtost
    > non è una speranza è una certezza

    mai dire certezza.
    il gatto non ce l'avete ancora nel sacco.
    tanto va il DRAGA al lardo che ci lascia lo zampino.
    la trippa per gatti x voi e per lui è finita.
    non+autenticato
  • Sei un idiota, microtost.
    Di questo, e solo di questo, c'è la certezza.
    non+autenticato
  • Come è una certezza Hotmail, server DNS di Redmond, etc.
    Ah, già come è una certezza l'assenza di windows al CERN, alla NASA, etc; in un qualsiasi cluster di calcolo parallelo, .... Queste sono le certezze!
    non+autenticato


  • - Scritto da: BSD_like
    > Come è una certezza Hotmail, server DNS di
    > Redmond, etc.
    > Ah, già come è una certezza l'assenza di
    > windows al CERN, alla NASA, etc; in un
    > qualsiasi cluster di calcolo parallelo, ....
    > Queste sono le certezze!

    HAHAHaha non mi pare windows98 windowsXP sia stato pensato per la NASA!Sorride
    Microsoft fa prodotti per PC.. Personal computer
    utenti domestici.. o al più piccoli server.
    sarebbe come se ti meravigliassi che le auto Fiat non vengono usate come carri armati dall'esercito!

    PS: Ma perchè poi si sta parlando di Microsoft?
    non era un bug di PHP? Che cosa buffa...
    non+autenticato


  • - Scritto da: Malcom
    > Non sono qui per dire non usate quello o
    > questo, ma se siete dei vincenti state
    > sicuramente usando prodotti Microsoft, gli
    > altri forse non sapranno nemmeno leggere
    > questo messaggio in quanto perdenti.

    Lo sto leggendo con Mozilla, e non uso prodotto M$ e' grave?

    Pero dimentichi di codered solo 2 gg dopo la prima segnalazione era gia disponibile la patch
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 14 discussioni)