Month of PHP Security набирает обороты
Поскольку май 2010 года был определен как Месяц безопасности PHP, то уже на сегодняшний день обнаружено и опубликовано 20 уязвимостей. Среди 20 уязвимостей: - 12 затрагивают непосредственно интерпретатор PHP; - 8 присутствуют в популярных PHP-приложениях. Для сравнения: В прошлой акции "Месяц ошибок в PHP", проведенной Стефаном в 2007 году, в PHP было найдено более 40 проблем безопасности. К наиболее важным уязвимостям, обнаруженных в рамках акции, относят:- Обнаружение (ошибка 1, ошибка 2) возможности выполнения кода злоумышленника в WYSIWYG-редакторе Xinha, входящем в состав Serendipity CMS;
- Возможность подстановки SQL-кода в форум DeluxeBB;
- Возможность (ошибка 1, ошибка 2) подстановки SQL-кода в систему управления контентом ClanSphere CMS;
- Возможность подстановки SQL-кода в обучающей среде Efront;
- Многочисленные уязвимости в различных реализациях функций PHP, разной степень опасности от инициирования краха и перехвата скрытой информации (preg_quote(), zend_sr opcode, zend_bw_xor opcode, html_entity_decode(), chunk_split(), addcslashes(), hash_update_file()), до организации выполнения кода (qlite_array_query(), sqlite_single_query()) и организации записи в произвольную область памяти интерпретатора (shm_put_var()). Корректирующий релиз PHP с исправлением представленных проблем еще не выпущен.
© Root.UA
