Açık PHP versiyon 4.3.7 ve öncesi ile versiyon 5.0.0RC3 ve öncesini etkiliyor. Geçtiğimiz hafta başında yayınlanan en son versiyon PHP 5.0 bu açıktan etkilenmiyor.
Yamayı PHP 4.3.8 içinde bulabilirsiniz. PHP Group kullanıcılara bu güncellemeyi yapmalarını tavsiye ediyor.
Araştırma firması Secunia’ya göre açık çok kritik olarak değerlendiriliyor. Çünkü saldırgana açık bulunan sunucuyu ele geçirme ve istediği yazılımları çalıştırma olanağı sağlıyor.
Açığı E-matters araştırıcısı Stefan Esser, PHP kodunu kontrol ederken yakaladı. Esser derhal bir online uyarı yayınladı.
Araştırmacı bu uyarıda “Memory limitlerinin kontrolü sırasında bu açığı yakaladık. Uzak saldırgan bu açığı kullanarak memory limiti durdurulması güvensiz bir noktada durdurabiliyor. Bu da uzak PHP sunucusunu kullanarak istediği kodu çalıştırabilir” diyor.
İkinci açık ise PHP’nin “strip_tags()” fonksiyonunda bulundu. Essert bu açığın sızmalara neden olabileceğini söylüyor.
PHP bilindiği gibi, Apache projesinin arka planında geliştirilmiş bir programlama dili. Linux tabanlı sunucularla Apache modülü olarak satılıyor. Son 4 yıldır kullanımı her geçen gün artıyor. Netcraft haziran 2004 istatistiklerine göre PHp en az 16 milyon domain tarafından kullanılıyor.
Kaynak : 