Php-skriptikielessä turva-aukko
0
Varsinkin Linux- ja Apache -perustaisissa www-palvelimissa suositussa php-skriptikielessä on havaittu vakavaksi luokiteltu ohjelmointivirhe. Http post -syötteen riittämätön tarkastus mahdollistaa puskurin ylivuodattamisen, jolloin hyökkääjä voi saada käyttöoikeudet palvelimeen.
Tietoturva-asiantuntijoiden mukaan Intel-pohjaiset palvelimet ovat turvassa käyttöoikeuksien sieppaamiselta, mutta heikkoutta voi kuitenkin käyttää näiden palvelinten kaatamiseen.
Php on tulkattava ohjelmointikieli, jolla luodaan dynaamista sisältöä www-sivuille. Netcraftin tutkimuksen mukaan tekniikkaa käytetään lähes kymmenellä miljoonalla www-sivustolla, ja noin 40 prosenttia Apache-palvelimista sisältää php-moduulin. Apachen osuus www-palvelinmarkkinoista on hieman alle 70 prosenttia, joten uhanalaisten sivustojen määrä laskettaneen miljoonissa.
PHP Group on julkaissut päivityksen, joka paikkaa aukon. Aukon sulkemiseksi riittää myös käyttäjien lähettämien post-komentojen suodattaminen www-palvelimessa tai palomuurissa.
