رفع چند مشكل امنيتي مهم در PHP

17 دسامبر 2004 - 27 آذر 1383

دو به روز رساني نرم افزاري منتشر شده است كه چند حفره امنيتي مهم را مي پوشاند و از سوء استفاده هكرها از اين حفره ها جهت حمله به سرورهايي كه از PHP  استفاده مي كنند، جلوگيري مي كند.

PHP Group در اين هفته نسخه هاي 4.3.10 و 5.0.3 از اين نرم افزار پردازشگر صفحات وب را منتشر كرده است تا مشكلات مذكور را حل كند. اين گروه بر روي سايت خود به همه كاربران PHP‌ توصيه كرده است كه سيستم خود را هرچه سريعتر به يكي از دو نسخه فوق ارتقا دهند.

مهمترين حفره در تابعي وجود دارد كه براي فشرده سازي داده جهت ذخيره سازي به كار مي رود. با استفاده از اين حفره يك هكر مي تواند كنترل وب سروري را كه نسخه قابل نفوذ PHP را اجرا كرده است، به دست بگيرد.

PHP داراي يك زبان اسكريپت نويسي سمت سرور است كه مي تواند درون صفحات وب قرار گيرد تا محتواي پويا توليد كند و يك برنامه پردازشگر نيز دارد كه بر روي فرمانها عكس العمل نشان مي دهد. بسياري از برنامه هاي blogging و مديريت محتوا ( Content Management ) به زبان PHP نوشته شده اند.

اين زبان مي تواند با تعامل با يك ديتابيس و توليد صفحات وب بر اساس كليك كردن كاربران ، براي كنترل محتواي يك سايت به كار رود. PHP به عنوان يك زبان برنامه نويسي انعطاف كافي جهت انجام بسياري از وظايف و اعمال را دارد. يك وب سرور بايد برنامه پردازشگر PHP را اجرا كند تا بتواند هر صفحه داراي اين زبان را به خوبي تفسير كند.

علاوه بر اين حفره مهم، شش مشكل امنيتي ديگر نيز در راهنمايي امنيتي ارائه شده توسط Hardened-PHP مشخص شده است.