Web-palvelimet vaarassa – php-kielessä aukkoja
11
Dynaamisten web-sivustojen tekemiseen laajasti käytetyssä php-ohjelmointikielessä on paljastunut haavoittuvuuksia ja muita ohjelmistovirheitä. Hyökkääjä voi päästä ajamaan koodiaan palvelimessa, jossa ajetaan vanhempaa php:n versiota kuin 5.2.7. Päivitys julkaistiin, mutta sekin jouduttiin vetämään jakelusta uusien haavoittuvuuksien takia.
Viestintäviraston tietoturvayksikkö Cert-fi varoittaa, että oman koodin ajamisen lisäksi hyökkääjä voi päästä aiheuttamaan palvelimessa palvelunestotilan.
Ongelman takia magic_quotes_gpc-direktiivi ei ole käytössä php:ssä, vaikka se olisi kytketty päälle. Tämä ja aiemmat haavoittuvuudet korjataan versiossa 5.2.8, joka julkaistaan myöhemmin. Siihen asti valmistaja suosittelee käyttämään versiota 5.2.6.
Jos palvelimeen ehdittiin kuitenkin jo asentaa php-versio 5.2.7, tietoturvaongelman voi korjata asettamalla php.ini-tiedostossa arvon "filter.default_flags=0".
