Центр мониторинга и анализа кибергуроз в госсекторе США (Multi-State Information Sharing & Analysis Center, MS-ISAC) информирует правительственные ведомства, бизнес-структуры и индивидуальных пользователей о множественных брешах в PHP 7.1 и 7.2, повышающих риск атаки через веб-приложения.

«Успешная эксплуатация самых серьезных из этих уязвимостей позволяет выполнить произвольный код в контексте затронутого приложения, — сказано в бюллетене. — В зависимости от привилегий, ассоциируемых с приложением, автор атаки сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полным набором прав пользователя. Неудачная попытка эксплойта может привести к отказу в обслуживании«.

Сведений об использовании какой-либо бреши в реальных атаках на настоящий момент нет. Наличие уязвимостей, полный список которых приведен в бюллетене MS-ISAC, подтверждено для всех выпусков PHP 7.1 и 7.2.

Для устранения проблем разработчик выпустил патчи в составе релизов PHP 7.1.23 и 7.2.11, которые рекомендуется установить незамедлительно. Перед этим MS-ISAC советует удостовериться в отсутствии неавторизованных изменений в системе.

В качестве общей меры защиты рекомендуется всегда назначать минимальный объем привилегий всем системам и сервисам. Полезно также время от времени напоминать пользователям о необходимости соблюдать элементарные правила безопасности — в частности, что не следует переходить по ссылкам, предоставленным неизвестными или недостоверными источниками.

Уязвимости в PHP — достаточно редкое явление. С 2000 года в скриптовом языке с открытым исходным кодом было обнаружено в общей сложности 577 ошибок, грозящих снижением уровня безопасности написанных на нем программ. Из них 42% вызывают критический сбой приложения, 27% связаны с переполнением буфера, а 25% грозят исполнением постороннего кода.

Напомним, в помощь разработчикам PHP-приложений на GitHub создана база известных уязвимостей и гарантированно надежных библиотек. По замыслу авторов проекта, активное использование этого справочника должно сократить оборот устаревших средств разработки и повысить защищенность веб-приложений.

Категории: Главное, Уязвимости