Alfonso Maruccia

PHP, nuova pezza anti-vulnerabilitÓ

Gli sviluppatori del linguaggio di scripting hanno distribuito un nuovo aggiornamento teso a risolvere la vulnerabilitÓ recentemente venuta alla ribalta. Questa volta il fix funziona, pare

Roma - The PHP Group ha distribuito nuovi aggiornamenti per il popolare linguaggio di scripting orientato allo sviluppo web, versioni pensate soprattutto per mettere un freno all'utilizzo malevolo di una vulnerabilità recentemente venuta alla ribalta presso il vasto pubblico e (ovviamente) presso i cyber-criminali.

Già nota agli sviluppatori da anni, la falla in questione aveva la spiacevole conseguenza di esporre il codice sorgente di un sito web qualora il server fosse configurato in modalità CGI. È possibile anche forzare l'esecuzione di codice da remoto sul server, avevano avvertito i ricercatori di sicurezza.

I coder avevano già provato a chiudere la falla (la cui esistenza nel frattempo era divenuta di pubblico dominio) con una pezza frettolosa e inefficace, ma ora gli upgrade 5.4.3 e 5.3.13 di PHP sembrano risolvere il problema in maniera appropriata e duratura.
Si tratta di un aggiornamento necessario più che benvenuto, visto che nei giorni scorsi ignoti cyber-criminali avevano preso di mira web host molto popolari come DreamHost (uno dei quattro servizi di hosting consigliati da WordPress.org) alla ricerca di server vulnerabili su cui piazzare backdoor per l'accesso non autorizzato.

Alfonso Maruccia
Notizie collegate
  • SicurezzaPHP, la cura che non curaUna vulnerabilitÓ nel linguaggio di scripting nota da mesi finisce inavvertitamente online, gli sviluppatori preparano una patch ma la pezza risulta inefficace e facilmente aggirabile
5 Commenti alla Notizia PHP, nuova pezza anti-vulnerabilitÓ
Ordina
  • Ci avete fatto caso che quando è windows ad avere delle falle le discussioni si allungano a chilometri invece se è un software open source non succede nienteSorride
    Saluti
    non+autenticato
  • - Scritto da: Mux
    > Ci avete fatto caso che quando è windows ad avere
    > delle falle le discussioni si allungano a
    > chilometri invece se è un software open source
    > non succede niente
    >Sorride
    > Saluti

    Certo perche' invece di scrivere tante cagate qua si prende il sorgente, si fanno le due correzioni e fine del problema e della discussione.
    krane
    22544
  • - Scritto da: krane
    > - Scritto da: Mux
    > > Ci avete fatto caso che quando è windows ad
    > avere
    > > delle falle le discussioni si allungano a
    > > chilometri invece se è un software open
    > source
    > > non succede niente
    > >Sorride
    > > Saluti
    >
    > Certo perche' invece di scrivere tante cagate qua
    > si prende il sorgente, si fanno le due correzioni
    > e fine del problema e della
    > discussione.

    Certo, basta solo attendere quegli 8 anni o giù di lì:

    The PHP-CGI remote code execution bug was discovered by security researchers, who traced the flaw to changes introduced in the codebase way back in 2004.

    (dalla pagina linkata nell'articolo)
    ruppolo
    33147
  • - Scritto da: ruppolo
    > - Scritto da: krane
    > > - Scritto da: Mux
    > > > Ci avete fatto caso che quando è windows ad
    > > avere
    > > > delle falle le discussioni si allungano a
    > > > chilometri invece se è un software open
    > > source
    > > > non succede niente
    > > >Sorride
    > > > Saluti
    > >
    > > Certo perche' invece di scrivere tante cagate
    > qua
    > > si prende il sorgente, si fanno le due
    > correzioni
    > > e fine del problema e della
    > > discussione.
    >
    > Certo, basta solo attendere quegli 8 anni o giù
    > di
    > lì:
    >
    > The PHP-CGI remote code execution bug was
    > discovered by security researchers, who traced
    > the flaw to changes introduced in the codebase
    > way back in
    > 2004.

    >
    > (dalla pagina linkata nell'articolo)

    Beh, sistemalo no ? Che stai qua a parlare ?
    krane
    22544
  • php al tappeto
    non+autenticato