Dezvoltatorul limbajului de programare web PHP, a lansat joi PHP 5.3.10, versiune care remediaza o vulnerabilitate critica care a fost depistata in versiunile anterioare de php. Aceasta vulnerabilitate putea fi exploatata pentru a executa un cod arbitrar pe serverele pe care ruleaza o versiune de php mai mica de 5.3.10.
Vulnerabilitatea este identificata ca CVE-2012-0830 si a fost descoperita de Stefan Esser, un consultant independent de securitate, cel care a creat binecunoscutul modul de securitate pentru php, Suhosin.
SecurityFocus clasifica aceasta problema ca o eroare de proiectare, deoarece a fost introdusa accidental, in timp ce dezvoltatorul PHP remedia o alta vulnerabilitate de tipul DoS identificata ca CVE-2011-4885 (denial of service), vulnerabilitate care a fost descoperita in Decembrie 2011 la Congresul de Comunicatii Chaos, de catre cercetatorii de securitate Alexander Klink si Julian Walde.
Vulnerabilitatea afecteaza un numar mare de platforme de dezvoltare web, inclusiv PHP, ASP.NET, Java si Python si poate fi exploata printr-un atac de tipul “hash collision atack“. Ea poate fi exploata de hackeri, acestia putand executa un cod arbitrar pe serverele pe care ruleaza o versiune vulnerabila de php. Toate versiunile de php mai vechi ale php, inclusiv php 5.3.9 sunt afectate de aceasta vulnerabilitate.
Administratorii de servere web sau servere de hosting sunt sfatuiti sa faca upgrade la php 5.3.10 cat mai repede posibil pentru a preveni eventuale atacuri.