Обновление PHP 5.4.18 и 5.5.2 с реализацией защищённых сессий

Представлены корректирующие выпуски интерпретатора языка программирования PHP — 5.4.18 и 5.5.2 в которых устранено более 20 ошибок. В обоих выпусках устранена уязвимость в модуле OpenSSL (CVE-2013–4248), вызванная некорректной обработкой символов с нулевым кодом в поле subjectAltName в SSL-сертификатах, что открывает возможности для спуффинга. Кроме того, в выпуске 5.4.18 (в ветке PHP 5.5 данная проблема была устранена в версии 5.5.1) исправлена уязвимость (CVE-2013–4113) в парсере XML, которая позволяет организовать выполнение кода при обработке специально оформленного XML-контента. Из изменений также можно отметить реализацию поддержки защищённых сессий, позволяющих защититься от атак по перехвату фиксированных идентификаторов пользовательских сессий и подбор идентификаторов через выявление коллизий в алгоритмах генерации идентификаторов сессий. Включение нового режима производится через опцию use_strict_session в php.ini, после чего осуществляется дополнительная проверка инициализации сессии (принимаются только ранее сгенерированные web-приложением сессии) и её корректности по специальному проверочному ключу, что позволяет защититься от атак по использованию перехваченных путём сниффинга идентификаторов сессий.

© OpenNet