Roma – PHP, il celebre linguaggio di scripting open source utilizzato su milioni di server, ha diversi spifferi che potrebbero consentire ad un aggressore di eseguire codice arbitrario su di un sistema remoto o mandarlo in crash.
A lanciare l’allarme è stato uno degli stessi membri del team di sviluppo del PHP, Stefan Esser, che su di un bollettino di sicurezza divulgato attraverso e-Matters ha classificato queste vulnerabilità come ad alto rischio. Altri esperti sostengono però che per sfruttare la maggior parte di queste falle occorrono risorse e conoscenze alla portata di pochi.
I bug di sicurezza sarebbero contenuti nella funzione “php_mime_split” di PHP e riguarderebbero il modo in cui alcune versioni del linguaggio gestiscono le richieste di tipo “POST multipart/form-data”, anche conosciute come “fileuploads”. Le versioni di PHP vulnerabili sarebbero numerose, fra cui buona parte di quelle comprese fra la 3.10 e la 4.1.1.
Esser ha specificato che la maggior parte di queste falle affliggono soltanto le versioni di PHP che girano su Web server Linux o Solaris.
Per proteggersi da questi problemi il CERT, in un suo advisory , raccomanda agli amministratori di aggiornare PHP alla versione 4.1.2 o di scaricare le patch come descritto qui . Se non è possibile effettuare aggiornamenti, per le versioni di PHP pari o superiori alla 4.0.3 si può intervenire manualmente disabilitando la funzione “file_uploads” dal file php.ini .
Secondo il noto osservatorio Web di Netcraft al momento sarebbero circa 9 milioni i sistemi su cui gira il Web server Apache: fra questi, una larga maggioranza utilizzerebbe anche PHP.