ثغرة خطيرة في بي أتش بي php CGI

كل الخوادم التي تستعمل بي أتش بي في وضعية CGI مهددة بهذه الثغرة التي لازمتنا 8 سنوات بدون أن يلحضه أحد أو يقوم أحد بطلب معالجته

في الأساس، الخطر يهدد النسخ المستعملة لنضام  CGI (لا تتأثر نسخ FastCGI أو DSO) والثغرة تتجلى في عمل طلب بإضافة أمر -s الذي يقوم على طلب إضهار الشفرة النصية لتطبيق
ولتجربة هل نحن في خطر أو لا ما عليك إلى تجربة الثغرة بنفسك

dominio.com/test.php?-s

وعلى العموم تم إصدار نسخة مصححة يجب تنصيبها دون تردد وعلى وجه التحديد نسختي بي أتش بي PHP 5.3.12 o PHP 5.4.2 . . وإذا أردت مفر حاليا من تصحيح الثغرة إلا بتصيب النسخة الجديد فلك حل إضافة دعامة بإستعمال mod_rewrite . وهذا يتم إضافته إلى virtualhost او .htaccess

RewriteCond %{QUERY_STRING} ^(%2d|-)[^=]+$ [NC]
RewriteRule ^(.*) $1? [L]

معلومات أكثر : php.net

محمد حنين

الإسم الكامل محمد حنين أحد geek من أمد طويل ، مطور ويب، محب للحرية، مستعمل نضام لينوكس، وأخيرا مجرم باللغة العربية للأسف في وقتها. معلومات أكثر عني أو الإتصال بي Mohammed Hanine

You may also like...

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *