Bardzo groźna podatność w PHP. Setki tysięcy narażonych urządzeń

Znaleziono krytyczną podatność w PHP. Wykorzystanie tej luki bezpieczeństwa pozwala na zdalne wykonanie kodu, czego konsekwencją może być całkowite przejęcie kontroli nad urządzeniem. Narażonych jest wiele aktywnie wykorzystywanych urządzeń.

Podatność została zgłoszona 7 maja br. deweloperom PHP, zaś 6 czerwca zostały wypuszczone nowe wersje oprogramowania. Należy niezwłocznie zainstalować stosowne poprawki. Zgodnie z opisem Devcore podatność dotyczy praktycznie wszystkich wersji PHP zainstalowanych na Windowsach.

Skala podatności

Narażone są wszystkie wersje XAMPP na Windowsa.

Warto również podkreślić, że w trzech wersjach językowych można zdalnie wykonać kod bez uwierzytelnienia. Dotyczy to tradycyjnego i uproszczonego chińskiego (strony kodowe 950 i 936) oraz japońskiego (strona kodowa 932) dla PHP w trybie CGI.

Jak się zabezpieczyć?

Najlepszym rozwiązaniem jest zainstalowanie najnowszej wersji PHP.

Jeżeli mowa o PHP w trybie CGI, działającego w trzech wspomnianych wersjach językowych i bez możliwości aktualizacji wersji PHP, należy zastosować poniższe zalecenia.

W przypadku XAMPP należy zlokalizować plik /apache/conf/extra/httpd-xampp.conf. Kolejnym krokiem jest znalezienie linijki o treści ScriptAlias /php-cgi/ „C:/xampp/php/”, a następnie dodanie przed nią hashtaga, dzięki czemu stanie się komentarzem.

Liczba podatnych urządzeń

Nie da się określić dokładnej liczby podatnych urządzeń. Według shodan.io, istnieje ponad 650 tysięcy urządzeń w Chińskiej Republice Ludowej i Japonii, które korzystają z PHP. Nie oznacza to jednak, że luka bezpieczeństwa dotyczy tych wszystkich urządzeń.

Wątek podatności sprzed 12 lat

Jak pisze orange.twpodobna podatność wystąpiła już 12 lat temu. Nadano jej ID CVE-2012-1823. Poprawka wdrożona w zeszłej dekadzie może zostać ominięta za pomocą jednej z funkcjonalności Windowsa, która została opisana 23 kwietnia 2024r.

Podziel się postem:

Najnowsze:

Bezpieczeństwo

Oprogramowanie Open Source w służbie wojskowej: Jak drony z ArduPilot zmieniają oblicze wojny na Ukrainie

W dzisiejszych czasach, gdy technologia odgrywa kluczową rolę na każdym polu, od medycyny po rozrywkę, nie jest zaskoczeniem, że jej wpływ jest coraz bardziej widoczny również w dziedzinie wojskowości. Jednak to, co może być zaskakujące, to fakt, że oprogramowanie open-source, tworzone przez społeczność entuzjastów i programistów z całego świata, staje się potężnym narzędziem w rękach armii. Niedawny, zmasowany atak dronów przeprowadzony przez Ukrainę na rosyjskie bazy lotnicze, jest tego najlepszym przykładem i dowodem na to, jak technologie o otwartym kodzie źródłowym rewolucjonizują współczesne pole walki.

Oprogramowanie

Unia Europejska przejdzie na Linuxa? Powstaje dystrybucja EU OS

Unia Europejska może wkrótce podjąć kroki w kierunku uniezależnienia się od amerykańskiego oprogramowania. Społeczność entuzjastów pod patronatem władz UE pracuje nad projektem EU OS, który ma zastąpić system operacyjny Windows w instytucjach rządowych. Wybór padł na modyfikację dystrybucji Fedora Linux, która zostanie dostosowana do potrzeb urzędników poprzez interfejs przypominający Windows.

Bezpieczeństwo

Przełomowa kwantowa technologia generowania liczb losowych z WAT: Szczegółowa analiza i perspektywy

W dzisiejszym zaawansowanym technologicznie świecie, prawdziwie losowe liczby stanowią fundament wielu kluczowych dziedzin. Od zabezpieczania komunikacji poprzez kryptografię aż po przeprowadzanie złożonych symulacji naukowych i inżynierskich , generowanie nieprzewidywalnych sekwencji danych jest niezbędne. Losowość odgrywa również istotną rolę w grach losowych , w sektorze finansowym , gdzie zapewnia unikalność transakcji, oraz w badaniach statystycznych. W kryptografii, siła klucza szyfrującego jest bezpośrednio związana z jakością i stopniem losowości użytym do jego wygenerowania . Im wyższa entropia źródła losowego, tym trudniejszy do złamania staje się klucz. Prawdziwa losowość jest zatem kluczowym elementem zapewniającym bezpieczeństwo w cyberprzestrzeni, wzmacniając algorytmy szyfrujące i chroniąc integralność przesyłanych oraz przechowywanych danych . Zapotrzebowanie na generatory liczb losowych o wysokiej jakości i nieprzewidywalności stale rośnie, co jest bezpośrednio powiązane z postępem technologicznym i coraz większym znaczeniem bezpieczeństwa informacji. Wraz z dynamicznym przenoszeniem coraz większej liczby aspektów naszego życia do sfery cyfrowej, ilość generowanych i przesyłanych danych nieustannie wzrasta. Ochrona tych danych przed nieautoryzowanym dostępem i manipulacją staje się priorytetem, a prawdziwa losowość jest nieodzownym narzędziem do skutecznego szyfrowania i zabezpieczania przed różnego rodzaju atakami.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *