CERT-FI haavoittuvuustiedote 143/2008

5.12.2008

Päivitys saatavilla PHP-ohjelmointikieleen


Kohde:	- palvelimet ja palvelinsovellukset	Lisätietoja
Hyökkäystapa:	- ilman kirjautumista - etäkäyttö - ilman käyttäjän toimia	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen - palvelunestohyökkäys - suojauksen ohittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Verkkosovellusten tekoon usein käytetystä ohjelmointikieli PHP:stä on julkaistu uusi versio, joka korjaa kielestä useita haavoittuvuuksia ja muita ohjelmistovirhettä. Haavoittuvuuksia hyväksikäyttämällä hyökkääjän voi olla mahdollista muun muassa suorittaa haavoittuvaa PHP-versiota käyttävässä verkkosovelluksessa omia komentojaan tai aiheuttaa siinä palvelunestotila.

HAAVOITTUVAT OHJELMISTOT:

PHP ennen versiota 5.2.7

[Päivitys 8.12.2008] PHP-versio 5.2.7 on poistettu jakelusta siinä ilmenneen tietoturvaongelman vuoksi. Lisätietoa aiheesta Ratkaisu- ja rajoitusmahdollisuudet -osiossa.

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä PHP versioon 5.2.7 valmistajan ohjeiden mukaisesti:

http://www.php.net/releases/5_2_7.php

[Päivitys 8.12.2008] PHP-versio 5.2.7 on poistettu jakelusta siinä ilmenneen tietoturvaongelman vuoksi. Ongelman vuoksi magic_quotes_gpc -direktiivi ei ole käytössä, vaikka se olisi asetettu päälle. Kyseinen ongelma ja tässä artikkelissa kuvatut haavoittuvuudet on korjattu versiossa 5.2.8, joka julkaistaan myöhemmin. Siihen asti valmistaja suosittelee käyttämään versiota 5.2.6:

http://www.php.net/archive/2008.php#id2008-12-07-1

Ne, jotka ovat jo asentaneet PHP-version 5.2.7, voivat korjata siitä löytyneen tietoturvaongelman asettamalla "filter.default_flags=0" -php.ini -tiedostossa.

http://www.php.net/downloads.php

LISÄTIETOA:

PÄIVITYSHISTORIA:

5.12.2008, kello 18.00: Julkaistu

8.12.2008, kello 12.00: Lisätty tieto siitä, että versio 5.2.7 on toistaiseksi poistettu jakelusta

Sivua päivitetty 08.12.2008

Tulostusversio