PHP’deki 2 önemli güvenlik açığı, danışmanlığın uygulama sunucusunu tamamen ele geçirmesine olanak tanır

WordPress içerik yönetim sisteminin 455 milyondan fazla web sitesine veya dünya çapındaki tüm web sitelerinin %30’undan fazlasına güç sağladığını biliyor muydunuz? Bu, en hızlı büyüyen ilk 100 işletmenin %62’sini temsil ediyor ve yalnızca WordPress’te her ay 70 milyon yeni blog makalesi oluşturuyorlar. Ve Facebook ve Wikipedia’nın dünyadaki en yaygın kullanılan içerik yönetim sistemiyle ortak noktası nedir? Çözüm PHP’dir. Modern web’in çoğu, fiili standart haline gelen PHP’ye dayanmaktadır. Buna karşılık, PHP güvenliği yeni bir zorluk olarak ortaya çıktı.

PHP ekibi 2 önemli güvenlik açığı için yama yayınladı. Ayrıntılar aşağıdadır

Tanım

Bir rakip, kusur nedeniyle potansiyel olarak hassas veriler elde edebilir.

Hatanın nedeni imageloadfont() yöntemindeki bir sınır koşuludur. Kötü niyetli bir bilgisayar korsanı, web uygulamasına özel olarak oluşturulmuş verileri gönderme, sınırların dışında bir okuma hatasına neden olma ve sistem belleğinin içeriğine erişme yeteneğine sahiptir.

Azaltma

Web sitesinden PHP güncellemelerini yükleyin.

Güvenlik açığı bulunan PHP sürümleri

PHP: 8.0.0 – 8.0.24, 8.1.0 – 8.1.11

Tanım

Kötü niyetli bir bilgisayar korsanı, kusur nedeniyle hedef makinede istedikleri kodu çalıştırabilir.

Keccak XKCP SHA-3 referans uygulaması, kusura yol açan bir tamsayı taşması içeriyor. Uzaktaki bir düşman, programa özel olarak oluşturulmuş verileri gönderebilir, tamsayı taşmasına neden olabilir, hedef makinede rastgele kod çalıştırabilir veya beklenen şifreleme özelliklerini devre dışı bırakabilir. Hash update() PHP işlevi, kusurun keşfedildiği yerdir.

Bu kusurdan başarıyla yararlanılırsa, hassas bir sistem tamamen tehlikeye girebilir.

Azaltma

Web sitesinden PHP güncellemelerini yükleyin.

Güvenlik açığı bulunan PHP sürümleri

PHP: 8.0.0 – 8.0.24, 8.1.0 – 8.1.11