شماره: IRCNE2012021390
تاريخ: 15/11/90
گروه PHP، نسخه PHP 5.3.10 را روز پنج شنبه دوم فوريه منتشر كرده است كه در آن، يك نقص امنيتي بسيار خطرناك برطرف شده است. نقص امنيتي مذكور منجر به اجراي كد دلخواه بر روي سرورهايي مي شود كه نسخه قديمي پلت فرم مذكور را نصب كرده اند.
اين نقص امنيتي كه CVE-2012-0830 نام دارد، به عنوان يك خطاي طراحي طبقه بندي مي شود زيرا به صورت تصادفي و در حين اصلاح يك آسيب پذيري انكار سرويس شناسايي شده است. يكي از محققان امنيتي در Secunia درباره اين آسيب پذيري مي گويد:
" به علت يك خطاي منطقي در تابع "php_register_variable_ex()" در php_variables.c زماني كه تعداد متغيرها بيشتر از حد تعيين شده مي گردد، تابع به درستي مديريت نمي شده و منجر به اجراي كد دلخواه از راه دور توسط هكرها مي گردد."
اين خطا بر روي همه نسخه هاي قبل از اين تأثير مي گذارد.
كد سوءاستفاده از آسيب پذيري مذكور در حال حاضر به صورت آنلاين و در دسترس عموم قرار دارد، بنابراين احتمال حمله هايي كه CVE-2012-0830 را هدف قرار دهند بسيار بالا است. به مديران وب سرورها توصيه شده است كه در اسرع وقت اقدام به نصب نسخه جديد PHP 5.3.10 نمايند.
- 2