Nyitott Web szerverek: rés a PHP-nyelvben

A nyílt forrású PHP nyelvben felfedeztek egy biztonsági hibát, melynek segítségével a hackerek képesek több milliónyi Apache webszervert megtámadni és megbénítani. A hibára szerdán derült fény egy PHP programozó csapat jóvoltából. Nagyobb károkat okozhat, mint hinnénk, egyes szakértők szerint ugyanis már léteznek olyan programkódok, amikkel nagyban megkönnyíthető a rés kihasználása.

Több különböző PHP verzióban (3.10-től 4.1.1-ig) is felfedezhető a biztonsági hiba, s az Apache webszervereken kívül a Microsoft Internet Information Servere is nyitott volt (ámbár jelentések szerint mára már nem sérülékeny ezzel a támadási technikával szemben). Segítségével az információs adatbázisból bármikor gyorsan elkészíthető egy weblap, ezzel olyan adatokat juttatva a külvilág felé, melyek felhasználásával nagy káoszt lehet(ne) okozni egy Web szerver életében.

Szakértők szerint az összes, Internetre kötött szerverek körülbelül 64 százalékán (ez kilencmilliót jelent durván) fut Apache Web szerver és a PHP népszerűségéből adódóan a legtöbb ilyen gépen ezt a nyelvet alkalmazzák. A biztonsági rés akkor használható ki, ha a Web szerverként Linux vagy Solaris operációs rendszerrel működő gépet használunk.

Gyors megoldást kínál a 4.1.2-es PHP verzióra való átállás, ebben ugyanis már nincsen benne a fent említett biztonsági hiba.