PHP: hiba csúszott a hibajavításba

A múlt hónapban a PHP fejlesztői arra kérték a webszerverek üzemeltetőit, hogy minél hamarabb frissítsék a kiszolgálóikon található PHP-t, mivel egy veszélyes sebezhetőséget szüntettek meg. Ezt a hibát Alexander Klink és Julian Wälde biztonsági kutatók fedezték fel még tavaly, és közölték, hogy az többek között a PHP, az ASP.NET, a Java valamint Python esetében is szolgáltatásmegtagadási támadásokat segíthet elő. A sérülékenység miatt érintett szoftverek fejlesztői sorban adták ki a hibajavításokat. A PHP fejlesztői a biztonsági rés nem kívánt hatásait úgy küszöbölték ki, hogy bevezettek egy max_input_vars nevű konfigurációs paramétert, amelynek segítségével maximalizálható a feldolgozandó bemeneti paraméterek száma. A patch a PHP 5.3.9 részeként vált elérhetővé. Sajnos azonban a hibajavításba hiba csúszott.

Itt a PHP 5.3.10

A PHP Group bejelentette, hogy kiadta a PHP 5.3.10-es kiadását, amelynek telepítésével megszüntethető a legutóbb kimutatott sebezhetőség. Ezt a hibát Stefan Esser független biztonsági kutató, a Suhosin atyja fedezte fel, és jelezte a fejlesztőknek. A vizsgálatok során kiderült, hogy a sérülékenységnek köze van a múltkori rendellenesség javításához. Ezért például a SecurityFocus tervezési/fejlesztési hibaként vette lajstromba a sebezhetőséget, amely akkor került a PHP-kódjába, amikor a fejlesztők januárban a DoS-hibát orvosolták.

"A múlt havi frissítés egy új (max_input_vars) paramétert vezetett be, amely korlátozza a feldolgozható bemeneti paraméterek számát. Azonban a php_variables.c állományban található, php_register_variable_ex() nevű függvény egy logikai hiba miatt nem kezeli megfelelően azokat az eseteket, amikor a beállított korlátnál több paramétert kell feldolgozni" - mondta Carsten Eiram, a Secunia egyik biztonsági kutatója. Majd hozzátette, hogy a sebezhetőség kihasználásával a támadóknak jogosulatlan távoli kódfuttatásra nyílhat lehetőségük.

A fejlesztők és a biztonsági szakértők a PHP mielőbbi frissítését javasolták.