PHP 5.3.13 and PHP 5.4.3 Released

באג קריטי שמאפשר לגשת לקוד המקור של דף PHP נסגר אחרי למעלה משמונה שנים. התקנות מסוימות של PHP חשופות. apache+mod_php ו nginx+php_fpm לא מושפעים.

5.3.13-PHP ו-PHP 5.4.3 שוחרר!

שני ימים אחרי הגירסה הקריטים הקודמת - מגיעה הגירסה הבאה

עם עוד תיקון קריטי שמישהו יכול לנצל כדי להוריד לכם את השרת
buffer overflow vulnerability in the apache_request_headers() (CVE-2012-2329)
ממליץ לעדכן !

5.3.12-PHP ו-PHP 5.4.2 שוחרר!

בהתקנות CGI מסוימות (Apache + mod_php ו nginx + PHP-FPM אינם מושפעים) קיימת פרצה שנעלמה מעיני המפתחים למעלה מ-8 שנים.

במילים פשוטות מדובר בזה, ששאילתות שיש להם את הסימן = בכתובת מטופלות בצורה שונה משאילתות שאין להם = בכתובת. השאילתות בלי הסימן = הופעלו במקרים מסוימים בתור פקודה ב CMD בצורה הבאה:

php index.php

הפעלה של סקריפטים דרך שורת הפקודה בצורה שכזו איפשרה להוסיף לסוף הכתובת עוד דברים שהיו עשויים להיתפרש בתור פרמטרים של שורת הפקודה. כך למשל הפקודה

php index.php -s

הייתה גורמת למפענח ה PHP להחזיר את קוד המקור של הסקריפט במקום לבצע אותו.

משמעות הדבר היא כי בקשה המכילה ?-S יכולה להחזיר את קוד המקור של דף PHP,
לאומת בקשות כמו ?-s&=1 שיעבדו בסדר גמור.

האם אני מושפע?

רוב האתרים והאחסונים היום מפעילים את PHP בתור מודול של apache (כולל כל מיני wamp למיניהם)
או בתור fpm עם nginx (אנחנו למשל).

אם אתם מפעילים את PHP עם mod_cgi במקום mod_php - יכול מאוד להיות שיש לכם מה לתקן. כדי לבדוק האם אתם מושפעים מזה צריך רק להוסיף ?-S לסוף הכתובת של האתר שלכם ואם אתם רואים את קוד המקור שלכם — ...

לתקן את זה אפשר על ידי עדכון ל-PHP 5.3.12 או PHP 5.4.2.
למרות שכדאי מאוד לשדרג לגרסאות האחרונות תמיד גם בלי קשר לחדשות.

כאן יש מדריך שדרוג של גרסת PHP ל wamp.
להוריד את הגרסה העדכניות ביותר ל windows אפשר פה. מי שלא ב-win — יודע לבד מה לעשות.

ומי שלא יכול לשדרג?

בגלל שהשיטה של mod_cgi היא יחסית מיושנת ויכול להיות קשה מאוד לשדרג את PHP לגרסה העדכנית ביותר באתרים שכאלה - אפשר להישתמש בכלל rewrite הבא כדי להתגבר על הפרצה.

RewriteCond %{QUERY_STRING} ^(%2d|-)[^=]+$ [NC]

RewriteRule ^(.*) $1? [L]

שימו לב, אם אתם לא מושפעים מהפרצה הזו, לא צריך לרוץ לתקוע את הקוד הזה ב htaccess שלכם. זה לא יעזור לכם בשום צורה!

תגובות לכתבה:

intval 04/05/2012 10:33
נו! נו! נו!
מעניין כמה פעמים תופיע בלוגים הכתובת http://phpguide.co.il/?-S

intval 04/05/2012 12:41
Yehonatan Tsirolnik ממליץ לנסות את זה על פייסבוק :)

iiddaannyy 04/05/2012 19:49
http://www.facebook.com/?-s

:)

אנונימי 04/05/2012 20:31
מי היה מאמין 8 שנים .

אנונימי 04/05/2012 21:06
וואלה הצלחתי קובץ php

תראה חלקו כתוב בצורה קריאה וחלקו כתוב
כך :
$"·ˆ÷ יh�¦��XSPy�b—Q@ײ�׀ט�lֶcƒpBמ��ָ·)‘€�³�Yי‹l�ְ�מןן1�‹5ֱ'ל׃³)‰�ֽ&�d‚\��R��c˜מ‚\v�ei0…X'�k¦f��e�¯�LהAJצ�סg“D*ך:€¯`�ל��H—‡ֿ<`A’� £�ּ�ןׁ �‘‰£ס�{°A'd¿�װ�ךv½��¬°,†�ְ�Dֱt8�ץj�•²ֵ�4סQ�ָ׀ƒ�ֻח‎ַכbF��g�.ָ‡©ר�זֱ GQ‘ גƒn–ַ"ך�ד½©״��ƒGA?&›¼•�:I¦,א�‏~�ׁ `�˜םט��}

אנונימי 04/05/2012 21:20
כנראה שפה השתמשו ב zend_encoder

אנונימי 08/05/2012 09:19
זה לא פועל לי בשום אתר >.<
רק על http://www.facebook.com/?-s