Védtelenül hagyja a webszervereket egy script-hiba

Tóth Kristóf, 2002. március 1. 07:57
Egy biztonsági hiba a közismert PHP scriptnyelvben lehetővé teszi a támadók számára, hogy megtámadják, és akár össze is omlasszák a világ potenciálisan veszélyeztetett, mintegy 9 millió webszerverének bármelyikét. A probléma az Apache, és egyéb webszoftvert alkalmazó webszervereket egyaránt érinti.
A PHP technikai csoportjának egyik tagja szerdán figyelmeztette a webes fejlesztőket a problémáról, amelynek kihasználásához már jelenleg is létezhet eszköz a hackerek körében, szerencsére azonban kevesen rendelkeznek a támadáshoz szükséges erőforrásokkal. "Valójában nem könnyű végrehajtani a támadást" - mondta Johannes Ullrich, a SANS (System Administration, Networking, and Security) Internet Storm Center központjának technikai vezetője, aki rendelkezik a biztonsági rést szemléltető programmal.

A PHP script nyelv, amely többek között olyan webszerverek alá telepíthető fel, mint az Apache, a Microsoft-féle Internet Information Server (IIS), és az iPlanet, lehetővé teszi a szervereken a futás közbeni weboldal készítést egy információs adatbázisból. Mint azonban kiderült, a PHP különféle változatai tartalmaznak néhány biztonsági rést.

A Netcraft internetes piackutató cég szerint a webszerverek mintegy 64 százaléka, azaz hozzávetőleg 9 millió alkalmazza az Apache web szoftvert. A script nyelv népszerűsége miatt azonban az Apache-alapú szerverek döntő többségére a PHP is felkerült.

Bár a biztonsági rés a PHP nyelvben található, a jelentések szerint csak a Linux-, illetve Solaris-alapú szerverek fenyegetettek a probléma következtében, áll a német e-Matters közleményében. A szoftveróriás Microsoft Internet Information Server webszoftvere, amely a múltban számtalan éles kritikát kapott biztonsági hibái miatt, ezúttal nem bizonyult sebezhetőnek még akkor sem, ha alkalmazza a PHP-t.

A heap overflow hibákból, és problémás határellenőrzésekből álló biztonsági rések segítségével a hackerek összeomlaszthatják a sebezhető webszervereket, és akár teljes hozzáférést is szerezhetnek azokhoz. A különféle problémák a PHP 3.10 és 4.1.1 közötti verzióit érintik. Ullrich, illetve a PHP weboldala a Linux-, és Solaris-alapú webszerverek üzemeltetőinek javasolja a PHP legújabb, 4.1.2-es verziójának alkalmazását, amely mentes a napokban nyilvánosságra hozott problémáktól.

Kulcsszavak: +legfontosabb bug security

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

A Magyar Telekom 2019. második negyedéves eredményei

2019. augusztus 8. 11:32

Új tulajdonosa van a UPC-nek

2019. augusztus 1. 12:20

A Bosch és a Daimler megvalósítja a vezető nélküli, automatizált parkolást

2019. július 31. 16:53

Rekordbevétel az LG-nél

2019. július 30. 17:03
online sportfogadás