image

DoS-patch veroorzaakt ernstig PHP-lek

vrijdag 3 februari 2012, 11:31 door Redactie, 4 reacties

De zeer populaire scripttaal PHP heeft een nieuwe versie uitgebracht die een ernstig beveiligingslek verhelpt, waardoor aanvallers op afstand willekeurige code konden uitvoeren. PHP zou door 77% van alle websites worden gebruikt en draait zodoende op tal van webservers, die nu risico lopen. De kwetsbaarheid werd ontdekt door beveiligingsonderzoeker Stefan Esser.

Ironisch
De kwetsbaarheid werd geïntroduceerd door door de patch voor het hash-collision-lek dat in december werd gemeld en januari gepatcht. Via de hash-collision-kwetsbaarheid was het mogelijk voor aanvallers om webservers vanaf één laptop plat te leggen.

Het feit dat een beveiligingsupdate een beveiligingslek veroorzaakt is erg ironisch, aldus Dustin Schultz. Inmiddels is er ook een proof-of-concept exploit verschenen. Gebruikers wordt dan ook geadviseerd om zo snel als mogelijk PHP 5.3.10 te installeren.

Reacties (4)
03-02-2012, 11:52 door Anoniem
De bug is het eerst gevonden door masugata, 1 dag na de release van PHP 5.3.9.

https://bugs.php.net/bug.php?id=60708

Zo zie je maar weer dat een bugtracker geen panacee is als er niemand naar de nieuwe issues kijkt.
03-02-2012, 13:27 door RichieB
[laat maar]
03-02-2012, 13:28 door 0101
03-02-2012, 15:53 door SLight
Als 't goed is wordt de server waar m'n website op draait iedere week geupdate dus 'geen' probleem.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.