PHP,Microsoft’un .NET (define) ve Sun’ın J2EE (define) ara katman kod iskeletlerinden Pazar payı çalmak için nişan alan10 yıllık açık kaynak dili.
PHP 5 Temmuz 2004’te piyasaya çıktı. Bu aynı zamanda PHP destekçisi Zend ve müttefiklerinin yeni bir PHP kod iskeletinin bir parçası olarak kullanılacağı versiyon.
PHP 4.x halen geniş çapta kullanılmakta (tartışmalı olarak PHP 5.x’ten daha çok kullanılmakta). PHP 4 ve 5 aynı zamanda LAMP (Linux/Apache/MySQL/PHP) yığınının bir parçası olarak sayısız Web sitesi ve uygulamanın çekirdek bileşeni olarak konuşlanmış durumda.
PHP güvenlik grubu olan Hardened-PHP Project, bugün PHP 4.x ve 5.x’in bir çok açıktan dolayı Web sitelerinin hizmet engelleme atağına yol açabilecek şekilde risk altında olduklarını bildirdi.
Diğer potansiyel riskler : Kullanıcı bilgilerini açığa çıkarma saldırıları ve kötü niyetli bir kullanıcıya yetkisi dışında sisteme giriş izni verebilen diğer güvenlik bypass açıkları.
Yeni yaması ile PHP’nin 4.4.1 sürümü için olan changelog aynı zamanda, düzeltilmiş güvenlik sorunlarını da tanımlamakta. Güvenlik düzeltmelerinin ötesinde, changelog 4.4.1 sürümünün başka 35 sorunu da çözdüğünü ekledi.
Hardened-PHP Project’e göre kritik açıklardan birisi, bir üzerine yazıma ve yetkisiz PHP kod sonlandırmaya potansiyel oluşturabilecek olan “GLOBALS” sırasındaki bir hataydı.
Ek olarak, PHP yüklemesinin parçaları hakkındaki bilgilerin çıkışı için sık kullanılan bir komut olan phpinfo()’da potansiyel bir Kullanıcı Bilgilerini Açığa Çıkarma hatası da açıklar listesinde.
Aynı şekilde, Genel Açıklar ve Tehditler (CVE) listesinde CAN-2005-2491 olarak yer alan potansiyel bir integer taşma açığı, düzeltme listesine girmiş durumda.
PHP Geliştirme Takımı (php.net) ayrıca bugün, PHP 4.x’teki açıkları gideren 4.4.1 versiyonunu çıkardı. Ancak, PHP 5.x’in en kararlı sürümü olan PHP 5.05’in de yamalanması gerekmekte. Sonuç olarak, Hardened-PHP Project’ten Steffan Eser PHP 5.0.5 kullanıcılarının risk altında olabileceğini iddia ediyor.
Eser, PHP kullanıcılarına ileriki PHP yüklemelerinde güvenlik amacıyla firmasının “Hardening-Patch”’ini kullanmalarını öneriyor.
Eser, internetnews.com’a “Şu anda bir PHP 5.0.6 olup olmayacağı ya da kullanıcıların sürümlerini direkt olarak 10 Kasım tarihinden önce piyasaya sürülmesi planlanan PHP 5.1.0 sürümüne yükseltmesi tavsiye edilip edilmeyeceği netlik kazanmamış durumda,” dedi. “Aslında PHP 5.1 0 sürümünün Aday Sürümü 4 şu anda bu açıklardan muaf olarak mevcut durumda ve de ne kadar çok insan bunu test ederse PHP 5.1.0 o kadar çabuk piyasaya sürülür.”
Kaynak : 