Roma – “Vulnerabilità in PHP”, si chiama così l’advisory rilasciato ieri con urgenza dall’autorevole CERT (Computer Emergency Response Team) in merito ad un buco di sicurezza che riguarda tutti i sistemi sui quali girano le versioni del linguaggio di scripting open source PHP 4.2.0 e 4.2.1. Un advisory che segue la nota rilasciata da Stefan Esser di e-matters e precede l’ advisory del PHP Group.
La notizia della vulnerabilità sta naturalmente facendo il rapido giro della comunità di sviluppatori e utilizzatori PHP e non è un caso che sia già disponibile l’upgrade a PHP 4.2.2 che risolve il problema, scaricabile qui .
Secondo il CERT, si tratta di una vulnerabilità che può consentire ad un aggressore remoto di far eseguire o mandare in crash PHP e web server. La falla riguarda quella parte di codice PHP che gestisce gli upload dei file, in particolare multipart/form-data.
“Inviando ad un server web una richiesta POST costruita allo scopo – si legge nella nota diffusa dal CERT – un aggressore può corrompere la struttura dati interna utilizzata da PHP. Nello specifico, un intruso può causare l’avvio di una struttura di memoria inizializzata in modo improprio”. Il che si risolve nella possibilità di far crashare PHP o il server web. “Ma ci sono circostanze – avverte il CERT – che consentono ad un aggressore di eseguire codice arbitrario con i privilegi del web server”, e dunque di fare il bello e il cattivo tempo sulla macchina aggredita.
Il CERT spiega come non sia possibile eseguire codice su sistemi x86, ciò nonostante anche i gestori di macchine di questo tipo sono invitati ad aggiornare i propri sistemi sia per ridurre il rischio di attacchi del tipo denial-of-service sia altri tipi di aggressioni che possono svilupparsi su architetture x86.
La gravità della vulnerabilità viene posta in diretta relazione con la diffusione di PHP che ha ormai superato i due milioni di server. Secondo gli esperti di X-Force , divisione specializzata di Internet Security Systems, la vulnerabilità va vista come grave per l’ampia adozione di PHP su tutti i generi di server web e sistemi operativi. X-Force ha però anche sottolineato che fino a questo momento in rete non si è notata una diffusione significativa delle tecniche che consentono di sfruttare la vulnerabilità.
Le ultime vulnerabilità di un certo peso rilevate in PHP risalgono a qualche mese fa quando proprio Stefan Esser mise in guardia contro una serie di “crepe” nel linguaggio di scripting.