رفع چند مشکل امنیتی مهم در PHP

17 دسامبر 2004 - 27 آذر 1383

دو به روز رسانی نرم افزاری منتشر شده است که چند حفره امنیتی مهم را می پوشاند و از سوء استفاده هکرها از این حفره ها جهت حمله به سرورهایی که از PHP  استفاده می کنند، جلوگیری می کند.

PHP Group در این هفته نسخه های 4.3.10 و 5.0.3 از این نرم افزار پردازشگر صفحات وب را منتشر کرده است تا مشکلات مذکور را حل کند. این گروه بر روی سایت خود به همه کاربران PHP‌ توصیه کرده است که سیستم خود را هرچه سریعتر به یکی از دو نسخه فوق ارتقا دهند.

مهمترین حفره در تابعی وجود دارد که برای فشرده سازی داده جهت ذخیره سازی به کار می رود. با استفاده از این حفره یک هکر می تواند کنترل وب سروری را که نسخه قابل نفوذ PHP را اجرا کرده است، به دست بگیرد.

PHP دارای یک زبان اسکریپت نویسی سمت سرور است که می تواند درون صفحات وب قرار گیرد تا محتوای پویا تولید کند و یک برنامه پردازشگر نیز دارد که بر روی فرمانها عکس العمل نشان می دهد. بسیاری از برنامه های blogging و مدیریت محتوا ( Content Management ) به زبان PHP نوشته شده اند.

این زبان می تواند با تعامل با یک دیتابیس و تولید صفحات وب بر اساس کلیک کردن کاربران ، برای کنترل محتوای یک سایت به کار رود. PHP به عنوان یک زبان برنامه نویسی انعطاف کافی جهت انجام بسیاری از وظایف و اعمال را دارد. یک وب سرور باید برنامه پردازشگر PHP را اجرا کند تا بتواند هر صفحه دارای این زبان را به خوبی تفسیر کند.

علاوه بر این حفره مهم، شش مشکل امنیتی دیگر نیز در راهنمایی امنیتی ارائه شده توسط Hardened-PHP مشخص شده است.