Bardzo groźna podatność w PHP. Setki tysięcy narażonych urządzeń

Znaleziono krytyczną podatność w PHP. Wykorzystanie tej luki bezpieczeństwa pozwala na zdalne wykonanie kodu, czego konsekwencją może być całkowite przejęcie kontroli nad urządzeniem. Narażonych jest wiele aktywnie wykorzystywanych urządzeń.

Podatność została zgłoszona 7 maja br. deweloperom PHP, zaś 6 czerwca zostały wypuszczone nowe wersje oprogramowania. Należy niezwłocznie zainstalować stosowne poprawki. Zgodnie z opisem Devcore podatność dotyczy praktycznie wszystkich wersji PHP zainstalowanych na Windowsach.

Skala podatności

Narażone są wszystkie wersje XAMPP na Windowsa.

Warto również podkreślić, że w trzech wersjach językowych można zdalnie wykonać kod bez uwierzytelnienia. Dotyczy to tradycyjnego i uproszczonego chińskiego (strony kodowe 950 i 936) oraz japońskiego (strona kodowa 932) dla PHP w trybie CGI.

Jak się zabezpieczyć?

Najlepszym rozwiązaniem jest zainstalowanie najnowszej wersji PHP.

Jeżeli mowa o PHP w trybie CGI, działającego w trzech wspomnianych wersjach językowych i bez możliwości aktualizacji wersji PHP, należy zastosować poniższe zalecenia.

W przypadku XAMPP należy zlokalizować plik /apache/conf/extra/httpd-xampp.conf. Kolejnym krokiem jest znalezienie linijki o treści ScriptAlias /php-cgi/ „C:/xampp/php/”, a następnie dodanie przed nią hashtaga, dzięki czemu stanie się komentarzem.

Liczba podatnych urządzeń

Nie da się określić dokładnej liczby podatnych urządzeń. Według shodan.io, istnieje ponad 650 tysięcy urządzeń w Chińskiej Republice Ludowej i Japonii, które korzystają z PHP. Nie oznacza to jednak, że luka bezpieczeństwa dotyczy tych wszystkich urządzeń.

Wątek podatności sprzed 12 lat

Jak pisze orange.twpodobna podatność wystąpiła już 12 lat temu. Nadano jej ID CVE-2012-1823. Poprawka wdrożona w zeszłej dekadzie może zostać ominięta za pomocą jednej z funkcjonalności Windowsa, która została opisana 23 kwietnia 2024r.

Podziel się postem :)

Najnowsze:

Nauka

GPT-5 będzie „na poziomie osoby z doktoratem”? OpenAI zachwala nowy model

Model GPT-5 może w pewnych konkretnych zadaniach wykazywać się „inteligencją” na poziomie doktora nauk. Tak przynajmniej wynika z deklaracji ze strony OpenAI. Firma traktuje swoje kolejne modele sztucznej inteligencji jako przykład rozwoju podobny do tego, który ma miejsce w przypadku nauki w szkole i na uczelni.

Bezpieczeństwo

Komunikat CSIRT KNF. Atak na użytkowników telefonów iPhone

CSIRT KNF ostrzega użytkowników iPhone’ów z aktywną obsługą wiadomości iMessage przed trwającą kampanią phishingową. Oszuści wykorzystują nośny wątek “nieodebranej paczki”, by zachęcić do kliknięcia linku. W ten sposób można trafić na fałszywą stronę InPostu, gdzie wyłudzane są dane.

Sprzęt

Komputery Copilot+ już oficjalnie dostępne w sprzedaży

Zgodnie z planami, dzisiaj laptopy Copilot+ wkraczają na rynek. Rozpoczyna się w ten sposób nowy rozdział w technologii, gdyż nie tylko mamy nową kategorię produktów, ale także nowego gracza na rynku pecetów – Qualcomm. A producent podobno działa nad kolejnymi Snapdragonami, których cena ma być tak przystępna, że urządzenia Copilot+ trafią pod strzechy.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *