Frissíteni kell a PHP-t!

Decemberben a Chaos Communication Congress rendezvényen két biztonsági kutató, Alexander Klink és Julian Wälde egy olyan előadást tartott, amely azóta is foglalkoztatja a fejlesztőket és a védelmi megoldásokat gyártó cégeket. A két szakember ugyanis egy olyan sebezhetőségről rántotta le a leplet, amelynek révén elsősorban webszerverek válhatnak megbéníthatóvá. Az előadás óta bebizonyosodott, hogy a sérülékenység többek között a PHP, az ASP.NET, a Java valamint Python esetében is problémákat okozhat, és szolgáltatásmegtagadási támadásokhoz vezethet.

A Microsoft az ASP.NET kapcsán decemberben kiadott egy soron kívüli frissítést, amellyel orvosolta a sebezhetőséget. A cég akkor azt közölte, hogy akár 100 KB-nyi adatmennyiséggel is megbéníthatóvá válhatnak webszerverek, és a többmagos processzorokat tartalmazó, illetve a klaszterekben működő rendszerek is kiszolgáltatottak lehetnek a sérülékenység miatt. Azok ugyanis 90-110 másodpercre 100 százalékos processzorhasználat mellett válaszképtelenné válhatnak. Az Anonymous hackerei már elérhetővé tettek egy exploitot az ASP.NET-hez, amely felhasználható DoS-támadásokhoz. Azonban a PHP fejlesztői szerint egy ilyen exploitot - főleg a már meglévő kódok alapján - PHP-ben sem különösebben nehéz feladat megírni, ezért azt tanácsolták, hogy az érintett webszerverek esetében az üzemetetők frissítsenek a PHP 5.3.9-es verziójára. Ez a kiadás ugyanis már nem sebezhető az említett hiba által.

A PHP fejlesztői a sérülékenység nem kívánt hatásait úgy küszöbölték ki, hogy bevezettek egy max_input_vars nevű konfigurációs paramétert, amelynek segítségével maximalizálható a feldolgozandó bemeneti paraméterek száma. Ugyanakkor az 5.3.9-es verzió más biztonsági problémákat is orvosol, és egyéb, nem biztonsági jellegű újdonságokat is tartalmaz.