60 hibát találtak a PHP rendszerben

Májusban tartották, egyébként három év szünetet követően a Month of PHP Security (MOPS) rendezvényt, mely igencsak eredményesen zárult - még ha hírnév szempontjából ez nem is feltétlenül kedvező a PHP számára. A rendezvény célja ugyanis az, hogy forráskód és bináris kód autentikációval felderítsék a webkiszolgáló szoftverbe került biztonsági hibákat és figyelmeztessék erre a fejlesztőket. Másodlagos, de nem mellékes cél, hogy olyan cikkeket és eszközöket bocsássanak rendelkezésre, melyekkel biztonságosabb PHP alkalmazások fejleszthetők.

A közismert webes szkriptnyelvben ugyanis alig 31 nap alatt kerek 60 biztonsági hibát találtak, azaz átlagosan naponta kettőt fedeztek fel. Szakértők szerint a hibák közül egy sem kritikus, mert kihasználásukhoz a támadó tetszőleges PHP-szkriptet kell, hogy tudjon futtatni a megtámadott szerveren, ez a lehetőség pedig a legritkább esetben adott. Kódinjekciós támadással kombinálva viszont a sebezhetőségek némelyike lehetővé teheti a korlátozások kijátszását a PHP-ben, és akár a gép feletti ellenőrzés átvételéhez is hozzásegíthetik a hackert.

Jó példa a PHP 5.3-ban talált hibákra az, melyet még a rendezvény első napjaiban fedeztek fel. A php_dechunk() függvényben azonosított probléma lényege, hogy általa lehetséges olyan darabolt http kéréseket továbbítani a rendszernek, melyekre az a memória felemésztésével és a szerver bénulásával válaszol. Szakértők szerint a rés nem használható ki tetszőleges kód végrehajtására, de szolgáltatás megtagadásához vezető (Dos) támmadások indíthatók a kihasználásával.

A MOPS keretében azonosított hibák részletei a MOPS oldalán olvashatók, konkrét forráskód megjelölésekkel és dokumentációval. A PHP javított változatának megjelenése rövidesen várható.