GulfTech: веб-приложения под угрозой
Уязвимости в популярных протоколах веб-сервисов могут привести к захвату контроля над серверами, на которых работает ряд интернет-приложений, заявили специалисты компании GulfTech.
Ошибки были обнаружены в XML-RPC For PHP и PEAR XML_RPC. Системы удаленного вызова процедур (RPC) используются вместе с протоколом HTTP для расширения возможностей веб-сервисов и становятся все более популярными. Вышеупомянутые протоколы реализуют XML-RPC для языка сценариев PHP, встраиваемых в веб-страницы и выполняющихся на сервере. Протокол, который также называют PHPXMLRPC, используется в ряде веб-приложений: PostNuke, Drupal, b2evolution и TikiWiki.
"PHPXMLRPC подвержен очень большому риску удаленного выполнения PHP-кода, что может привести к компрометации веб-сервера", - говорится в заявлении GulfTech. Уязвимость вызвана ошибкой в функции разбиения данных (парсинга) parseRequest(), данные в которой передаются eval(). Особенностью последней функции является возможность передать в одинарных кавычках команду, которая будет выполнена.
Ошибка уже исправлена в новой версии PHPXMLRPC. Для защиты некоторых приложений, таких, как eGroupWare и phpGroupWare, независимая группа ИТ-безопасности Secunia рекомендует ограничить доступ к функциональности XML-RPC.
Уязвимость в PEAR XML_RPC отличается от PHPXMLRPC, но ее эксплуатация приводит к аналогичному результату, утверждают в GulfTech. В версии 1.3.1 ошибка исправлена.
Ошибки были обнаружены в XML-RPC For PHP и PEAR XML_RPC. Системы удаленного вызова процедур (RPC) используются вместе с протоколом HTTP для расширения возможностей веб-сервисов и становятся все более популярными. Вышеупомянутые протоколы реализуют XML-RPC для языка сценариев PHP, встраиваемых в веб-страницы и выполняющихся на сервере. Протокол, который также называют PHPXMLRPC, используется в ряде веб-приложений: PostNuke, Drupal, b2evolution и TikiWiki.
"PHPXMLRPC подвержен очень большому риску удаленного выполнения PHP-кода, что может привести к компрометации веб-сервера", - говорится в заявлении GulfTech. Уязвимость вызвана ошибкой в функции разбиения данных (парсинга) parseRequest(), данные в которой передаются eval(). Особенностью последней функции является возможность передать в одинарных кавычках команду, которая будет выполнена.
Ошибка уже исправлена в новой версии PHPXMLRPC. Для защиты некоторых приложений, таких, как eGroupWare и phpGroupWare, независимая группа ИТ-безопасности Secunia рекомендует ограничить доступ к функциональности XML-RPC.
Уязвимость в PEAR XML_RPC отличается от PHPXMLRPC, но ее эксплуатация приводит к аналогичному результату, утверждают в GulfTech. В версии 1.3.1 ошибка исправлена.
Ещё новости по теме:
18:20