Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Tietoturva nyt! > 2007 > Heinäkuu > PHP-pohjaiset palvelut hyökkäyksien kohteena

Tietoturva nyt!

3.7.2007

PHP-pohjaiset palvelut hyökkäyksien kohteena

Viime viikonloppuna suomalaisten www-palveluntarjoajien palvelimia kaapattiin ja sivustoja töhrittiin. Usein www-palvelimien kaappaukset suoritetaan PHP-ohjelmointikielessä tai jossain PHP-sovelluksessa olevaa haavoittuvuutta hyväksikäyttämällä. PHP-ohjelmointikielestä löydetään uusia haavoittuvuuksia melko usein. Muun muassa Month of PHP Bugs -kampanjassa löydettiin 44 PHP-ohjelmointikieleen suoraan tai välillisesti liittyvää haavoittuvuutta. Haavoittuvuuksia on löytynyt myös tämän haavoittuvuuskuukausikampanjan jälkeen.

PHP-projekti julkaisee uusia pääversioita PHP4 ja PHP5 -tuotteista verrattain harvoin, jolloin korjaukset tulevat saataville vasta haavoittuvuuksien julkistamisen jälkeen. Lisäksi monet käyttöjärjestelmäjakelijat ja eräät muut tahot tarjoavat PHP:ta valmiiksi paketoituina versioina. Nämä paketit eivät kuitenkaan aina ole uusinta pääversiota, jolloin uusimpien korjausten saaminen viivästyy entisestään. Tosin esimerkiksi Linux-jakelijat saattavat tehdä itse korjauksia tarjoamiinsa paketteihin, jolloin osa haavoittuvuuksista tulee paikatuksi sitä kautta.

Tuorein ja vähiten julkaistuja haavoittuvuuksia sisältävä versio PHP:sta on PHP-projektin CVS-järjestelmästä löytyvä kehitysversio. Tämä versio saattaa kuitenkin olla epävakaa ja se on itse käännettävä lähdekoodeista, jolloin päivittäminen on tavallista työläämpää. PHP:n tietoturvallinen käyttäminen www-palvelimilla ja kolmansien osapuolten PHP-sovellusten ajaminen julkisessa www-palvelussa on haastavaa ja vaatii palveluntarjoajalta syventymistä asiaan. PHP-sovellukset on suositeltavaa eristää palvelimien käyttöjärjestelmästä ja toisistaan ajamalla niitä omissa virtuaalikoneissaan tai rajoittaa www-palveluprosessin oikeuksia käyttöjärjestelmässä.

Muun muassa Hardened PHP -projekti tarjoaa työkaluja PHP:n ja PHP-sovellusten tietoturvallisuuden parantamiseen.

Lisätietoa

Sivua päivitetty 03.07.2007   Tulostusversio Tulostusversio