PHP7: три уязвимости нулевого дня

  • Вторник, 10 января 2017
  • Автор:
PHP7: три уязвимости нулевого дня

Исследователи Check Point выявили три уязвимости нулевого дня в PHP7, представлявшие серьезную угрозу для любого веб-сайта, использующего данный язык программирования.

Критические бреши в PHP 7

В движке массового языка веб-программирования PHP7 найдены три новые уязвимости, получившие обозначения CVE-2016-7479, CVE-2016-7480 и CVE-2016-7478, соответственно.

Первые две уязвимости, в случае успешной эксплуатации, позволили бы злоумышленникам получить полный контроль над атакуемым сервером. Третья уязвимость позволяет производить DoS-атаку на сервер под управлением PHP7.

К настоящему времени информации о фактической эксплуатации этих уязвимостей нет. Разработчики PHP уже выпустили обновления, и их настоятельно рекомендуется установить как можно скорее.

Та же область, другие уязвимости

Все три бага обнаружены в области, именуемой механизмом десериализации.

Сериализация — это процесс конвертирования сложной структуры языка программирования в строку для компактной передачи данных. Десериализация, соответственно, представляет собой обратный процесс — конвертирование строки, полученной при сериализации, обратно в сложную структуру.

Исследователи Check Point потратили несколько месяцев, исследуя механизм десериализации в PHP 7. В PHP 5 данный механизм содержал серьезные уязвимости, которые позволили производить кибератаки на сервисы под управлением Drupal, Joomla, Magento и vBulletin. Атакам через уязвимости в PHP 5 подвергался также Pornhub.

В Check Point указывают, что в обнаружении багов в механизме сериализации PHP 7 нет ничего удивительного: «Этот механизм парсит «сложный» формат, а у того отсутствуют формализованные определения. Так что мы ожидали найти в нем баги», — говорит Яннай Ливнех (Yannay Livneh), эксперт компании Check Point.

Источник: CNews

Joomla!® CMS — пожалуй, лучшая система управления контентом с открытым исходным кодом

Логотип Joomla

Joomla! — это больше, чем просто программное обеспечение, это люди, включающие разработчиков, дизайнеров, системных администраторов, переводчиков, копирайтеров, и, что самое главное — простых пользователей.

Мы рады пригласить вас в ряды нашего сообщества!

Свернуть

Коротко о главном в Joomla

Новости портала

Новое в блогах

Видео