Anasayfa > Güvenlik > PHP Güvenlik Açıkları

PHP Güvenlik Açıkları




 Etkilenen Sistemler

PHP version 3.10-3.18
PHP version 4.0.1-4.03pl1
PHP version 4.0.2-4.05
PHP version 4.0.6-4.0.7RC2
PHP version 4.0.7RC3-4.1.1


Açıklama

ISS X-Force PHP script dilinde çeşitli hafıza taşması açıkları bulunduğunu rapor etti.
PHP sunucu-tarafında çalışan popüler bir script dili. PHP çoğunlukla Apache web
sunucusu ortamlarında kullanılıyor fakat başka web sunucuları ve işletim
sistemlerinde de destekleniyor. X-Force açıklardan biri için çalışan bir exploit`in
varlığını onayladı ve yayılabileceği konusunda uyarıyor.
Detay:
NetCraft`ın Ocak 2002 raporuna göre gözlemlenen sitelerin %57`sini oluşturan 20.8
milyon aktif Apache kurulumu var. Secure Space, PHP`nin en popüler Apache
modülü olduğunu ve 1.44 milyon aktif kurulum olduğunu rapor ediyor.
PHP RFC-1867 uyumlu herhangi bir web browser kullanılarak HTTP POST ile dosya
gönderimlerini destekliyor. Bu özellik potensiyel bir güvenlik riski olarak görülüyor
ve zaman içinde pek çok güvenlik mekanizması bunun kötüye kullanımını
sınırlamak için PHP`ye eklendi.


HTTP POST ile dosya gönderimi özelliğinde çeşitli hafıza taşma açıkları bulundu.
Saldırganların bu açıktan yararlanabilmesi için özel olarak hazırlanmış MIME
kodlanmış veriler içeren PHP form`u göndermesi gerekiyor. X-Force`un analiz ettiği
exploit`de bu veri MIME sınırlarının yerini bulan rutine gönderiliyor. Bir pointer
sınırın sonuna işaret edecek şekilde set ediliyor ve sonra ’Content-disposition’
başlığı parse ediliyor. Parse etme rutinindeki bir mantık hatası PHP`nin ayrılan
hafızada kalan byte sayacını yanlış hesaplayabilmesine yol açıyor. Bazı özel
durumlarda ’heap’ hafıza yönetimi verisinde 1-byte taşmaya sebep olabiliyor.


X-Force`un analiz ettiği exploit Apache Web sunucusu ve PHP`nin çeşitli sürümlerini
çalıştıran Debian ve Red Hat Linux sürümleri için 9 ayrı exploit vektörü içeriyor. X-
Force bu exploit`in yeni sürümlerinin daha fazla işletim sistemi için olabileceğini
belirtiyor.


Korunma
En son PHP sürümüne güncelleyin:
http://www.php.net/downloads.php


ref: http://www.iss.net/security_center/alerts/advise112.php
http://security.e-matters.de/advisories/012002.html
http://www.securityspace.com/s_survey/data/man.200201/apachemods.html
http://www.netcraft.com
http://www.iss.net/security_center/static/8281.php
http://www.iss.net/download


Bu makale hakkında ek bilgi eklemek için buraya tıklayınız

Bu makalenin yazar yada kaynağını bildirmek için tıklayınız.

Digg this Post! Add Post to del.icio.us Bookmark Post in Technorati Furl this Post!
Eklenme tarihi: 5-2-2006  Okunma: 3372

Arkadaşa Postala      Yazdır      Yorum Ekle      Rapor Et  
Bu Makaleye Verilen Puan:    Bu makaleye puan verilmemiş.
Bu Makaleye Puan Ver  

Bölüm Başlık Kullanıcı Yorumları


Bu makaleye yorum gönderilmemiş, ilk yorumu sen gönder !

Yorum Ekle  
Reklam Netinternet
Bazı hakları saklıdır: İçeriğin editör ve yazarlarımız tarafından oluşturulan kısımları ve site tasarımının hakkı saklıdır.  Bu sayfa en iyi 1280x1024 ve 1024x768 çözünürlükte izlenir.
Powered by BilgiPortal v2.2
Resim Emlak Canlı TV Firma Rehberi Firma Ekle Estetik çiçek Makale izafet Download indir ADSL Teknik Servis