סדרת כשלי אבטחה חמורים ב-PHP ; מומלץ לשדרג בהקדם לגרסאות 4.3.10 או 5.0.3 [עודכן]

21/12/2004 - 21:32 · ‏ פורסם

דוביקס · ‏ tags

אבטחת מידע ·

חברת האבטחה Secunia הודיעה על גילוי סדרת כשלי אבטחה ב-PHP המאפשרים לתוקף זדוני לקבל הרשאות נוספות, לעקוף מנגנוני אבטחה, לקרוא קבצי הגדרות ולפרוץ למערכות הכתובות ב-PHP.

מומלץ לשדרג לגרסאות החדשות בהקדם האפשרי ו/או לוודא שדרוג התוכנה באתרי אחסון איתם אתם עובדים.

פרוייקט PHP שחרר את גרסאות 4.3.10 ו-5.0.3 הכוללות תיקונים לכשלים שדווחו.

לצוות phpBB דווח אודות אקספלויט המנצל פרצות אלו על מנת לקבל גישה למידע רגיש השמור בקובץ קונפיגורציה. יתכן ואקספלויטים דומים יופצו גם עבור מערכות תוכן אחרות.

עדכון: גוגל חסמה שאילתות מתולעת חדשה שניצלה את מנוע החיפוש לאיתור פורומים המשתמשים ב-phpBB והשביתה אותם. למרות החסימה, קוד המקור של התולעת זמין ברשת ומומחי אבטחה צופים שגרסאות חדשות של התולעת שמשתמשות במנועי חיפוש אחרים יופצו בעתיד הקרוב.

קישורים רלוונטיים

· עוד על אבטחת מידע
· חדשות מאת דוביקס

הסיפור הנקרא ביותר בנושא אבטחת מידע:
האקרים עדכנו גרסה עם 'דלת אחורית' בשרת הפרוייקט sendmail.org

סדרת כשלי אבטחה חמורים ב-PHP ; מומלץ לשדרג בהקדם לגרסאות 4.3.10 או 5.0.3 [עודכן] | כניסה / יצירת מנוי חדש | 3 תגובות

ההערות הינן מטעם כותביהן. אין צוות האתר לוקח אחריות על תוכנן

יש כבר חבילות לפדורה, למעוניינים (ניקוד: 0)
ע"י פינגווין אנונימי ב 21/12/2004 - 21:59

up2date עוד לא צועק על זה, אבל אם תבקשו מ-YUM לשדרכ את PHP, יותקן טלאי האבטחה.

[ השב לזאת ]

חבילות למנדרייק, למעוניינים (ניקוד: 1)
ע"י דוביקס ב 21/12/2004 - 22:11
(מידע על משתמש | שלח הודעה)

לא יודע כמה (אם בכלל) משתמשים במנדרייק לשרת אבל חבילות מעודכנות זמינות (החבילות כוללות את הטלאים, וחוסכות שדרוג לגרסאות PHP חדשות יותר):

רשימת החבילות המתוקנות

[ השב לזאת ]

Re: סדרת כשלי אבטחה חמורים ב-PHP ; מומלץ לשדרג בהקדם לגרסאות 4.3.10 או 5.0.3 (ניקוד: 0)
ע"י פינגווין אנונימי ב 22/12/2004 - 15:36

עשיתי עכשיו עדכ"ל לשרת הביתי שלי... ובדרך עדכנתי עוד כמה וכמה חבילות

[ השב לזאת ]