Archivio » 2004 » dicembre » lunedì 20 »

Php, vulnerabilità già riparate

Scritto da Guido Sintoni

Aggiornare subitoProteggetevi!» Feed Rss XML

Amministratori di rete, web designer e hobbysti evoluti, mano alla vostra Linux box (ma anche Windows e vari altri sistemi operativi): è il momento di aggiornare Php. Il motivo è semplice: le versioni precedenti alla 4.3.9 (compresa) e alla 5.0.2 (compresa) del popolare linguaggio di programmazione soffrono di bug multipli che permettono la presa di possesso di un sistema vulberabile. Difendetevi! La lista delle vulnerabilità è lunga: tra i bug più seri, quelli delle funzione pack e unpack, che servono per la compressione e decompressione dei dati da archiviare, soggetti a buffer overflow (e quindi all’eventuale esecuzione arbitraria di codice).
Il team di sviluppo di Php dedica grande risalto all’episodio e ai dieci bug complessivamente trovati: sei per merito del ricercatore Stefan Esser, e quattro ad opera dello stesso vendor.
Secunia ritiene le vulnerabilità “altamente critiche”.
Il suggerimento è chiaro: aggiornare immediatamente alle nuove versioni (pronte nel giro di alcune ore dalla scoperta dei bug: il tempo bugfixing è uno dei vantaggi del modello aperto su quello chiuso), disponibili come sorgenti e binari per Unix/Linux e Windows.
Il ramo 4.x (stabile) è utilizzato in ambienti di produzione; il ramo 5.x è dichiaratamente di sviluppo. Il rischio riguarda ovviamente più da vicino gli amministratori di rete e i provider che erogano servizi su Internet.

Per gli sviluppatori che utilizzano sistemi basati su Php il problema passa decisamente in secondo piano: essendo il linguaggio interpretato, non c’è rischio che i sorgenti sviluppati su una piattaforma bacata si rivelino vulnerabili in un ambiente di produzione auspicabilmente aggiornato.