PHP повторно устранила уязвимость раскрытия исходного кода
🕛 11.05.2012, 08:35
Разработчики PHP устранили дополнительные векторы эксплуатации уязвимости. Группа разработчиков PHP выпустила второе в этом месяце обновление, в котором устранила уязвимость раскрытия важных данных, связанную с CGI надстройкой. Напомним, что эта уязвимость была обнаружена в ходе Nullcon CTF, когда стало известно, что строка запроса ?-s приводила к выполнению аргумента -s и раскрытию исходного кода. Дальнейший анализ показал, что уязвимость существовала в PHP приблизительно с 2004 года.
После того, как об уязвимости стало известно, производитель выпустил обновления безопасности 5.3.12 и 5.4.2. В скором времени стало известно, что эти обновления, а также инструкции по временному решению не полностью устраняют уязвимость, и существуют пути ее дальнейшей эксплуатации.
В ветке 5.4.х также была устранена уязвимость CVE-2012-2329, позволявшая вызвать переполнение буфера и скомпрометировать целевую систему.