В PHP найдены и устранены 7 уязвимостей

Два обновления, устраняющих уязвимости в интерпретаторе языка серверных сценариев PHP, выпущены на этой неделе разработчиками продукта — PHP Group.

Это версии 4.3.10 и 5.0.3 — сервисные выпуски, заменяющие 4.3.9 и 5.0.2. Используя критичные ошибки, злоумышленники могли захватывать контроль над веб-сервером, утверждают открыватели уязвимостей из группы Hardened-PHP. Всего было найдено 7 ошибок, позволяющих подвесить сервер или выполнить на нем произвольный код: две ошибки переполнения целочисленной переменной в командах упаковки веб-страниц (pack и unpack), три уязвимости, связанные с неправильной обработкой путей в функциях "безопасного режима" (safe_mode_exec_dir, safe_mode и realpath), и две уязвимости в модуле работы с памятью (unserialize). Уязвимости ставят под угрозу безопасность пользователей множества популярных форумов, работающих на движках, написанных на PHP: PHPBB, Invision Board, vBulletin и других.

PHP — развитие популярного языка серверных сценариев Perl. Он приобрел большую популярность из-за своей гибкости: разработчики веб-страниц на PHP, в отличие от Perl, могут вставлять код прямо в HTML. Сервер обрабатывает эти команды во время запроса страницы посетителем.