SOS :: Security Operation Space
29 марта, пятница, 00:00
|
Hot News:

Новые бреши в PHP грозят исполнением произвольного кода

15 октября 2018 г., понедельник, 14:56

Наличие уязвимостей подтверждено для всех выпусков PHP 7.1 и 7.2; патчи включены в состав PHP 7.1.23 и 7.2.11.

Центр мониторинга и анализа кибергуроз в госсекторе США (Multi-State Information Sharing & Analysis Center, MS-ISAC) информирует правительственные ведомства, бизнес-структуры и индивидуальных пользователей о множественных уязвимостях в PHP 7.1 и 7.2, повышающих риск атаки через веб-приложения.

«Успешная эксплуатация самых серьезных из этих уязвимостей позволяет выполнить произвольный код в контексте затронутого приложения, — сказано в бюллетене. — В зависимости от привилегий, ассоциируемых с приложением, автор атаки сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полным набором прав пользователя. Неудачная попытка эксплойта может привести к отказу в обслуживании«.

Сведений об использовании какой-либо бреши в реальных атаках на настоящий момент нет. Наличие уязвимостей, полный список которых приведен в бюллетене MS-ISAC, подтверждено для всех выпусков PHP 7.1 и 7.2.

Для устранения проблем разработчик выпустил патчи в составе релизов PHP 7.1.23 и 7.2.11, которые лучше всего установить незамедлительно. Перед этим MS-ISAC советует удостовериться в отсутствии неавторизованных изменений в системе.

В качестве общей меры защиты рекомендуется всегда назначать минимальный объем привилегий всем системам и сервисам. Полезно также время от времени напоминать пользователям о необходимости соблюдать элементарные правила безопасности — в частности, что не следует переходить по ссылкам, предоставленным неизвестными или недостоверными источниками.

Уязвимости в PHP — достаточно редкое явление. С 2000 года в скриптовом языке с открытым исходным кодом было совокупно обнаружено 577 ошибок, грозящих снижением уровня безопасности написанных на нем программ. Из них 42% вызывают критический сбой приложения, 27% связаны с переполнением буфера, а 25% грозят исполнением постороннего кода.

В заключение напомним: в помощь разработчикам PHP-приложений на GitHub создана база известных уязвимостей и гарантированно надежных библиотек. По замыслу авторов проекта, активное использование этого справочника должно сократить оборот устаревших средств разработки и повысить защищенность веб-приложений.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
19:45
17:45
14:45
12:45
11:45
09:45
09:45
19:45
18:45
16:45
15:45
14:45
13:45
10:45
10:45
09:45
19:45
19:45


© 2013—2024 SOS :: Security Operation Space (Пространство Операций Безопасности)  // AMS  // Обратная связь  | 0.075
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.