Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Наличие уязвимостей подтверждено для всех выпусков PHP 7.1 и 7.2; патчи включены в состав PHP 7.1.23 и 7.2.11.
Центр мониторинга и анализа кибергуроз в госсекторе США (Multi-State Information Sharing & Analysis Center, MS-ISAC) информирует правительственные ведомства, бизнес-структуры и индивидуальных пользователей о множественных уязвимостях в PHP 7.1 и 7.2, повышающих риск атаки через веб-приложения.
«Успешная эксплуатация самых серьезных из этих уязвимостей позволяет выполнить произвольный код в контексте затронутого приложения, — сказано в бюллетене. — В зависимости от привилегий, ассоциируемых с приложением, автор атаки сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полным набором прав пользователя. Неудачная попытка эксплойта может привести к отказу в обслуживании«.
Сведений об использовании какой-либо бреши в реальных атаках на настоящий момент нет. Наличие уязвимостей, полный список которых приведен в бюллетене MS-ISAC, подтверждено для всех выпусков PHP 7.1 и 7.2.
Для устранения проблем разработчик выпустил патчи в составе релизов PHP 7.1.23 и 7.2.11, которые лучше всего установить незамедлительно. Перед этим MS-ISAC советует удостовериться в отсутствии неавторизованных изменений в системе.
В качестве общей меры защиты рекомендуется всегда назначать минимальный объем привилегий всем системам и сервисам. Полезно также время от времени напоминать пользователям о необходимости соблюдать элементарные правила безопасности — в частности, что не следует переходить по ссылкам, предоставленным неизвестными или недостоверными источниками.
Уязвимости в PHP — достаточно редкое явление. С 2000 года в скриптовом языке с открытым исходным кодом было совокупно обнаружено 577 ошибок, грозящих снижением уровня безопасности написанных на нем программ. Из них 42% вызывают критический сбой приложения, 27% связаны с переполнением буфера, а 25% грозят исполнением постороннего кода.
В заключение напомним: в помощь разработчикам PHP-приложений на GitHub создана база известных уязвимостей и гарантированно надежных библиотек. По замыслу авторов проекта, активное использование этого справочника должно сократить оборот устаревших средств разработки и повысить защищенность веб-приложений.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |