Falha em linguagem PHP afeta serviços web

Você precisa estar logado para dar um feedback. Clique aqui para efetuar o login
Para efetuar o download você precisa estar logado. Clique aqui para efetuar o login
Confirmar voto
0
 (0)  (0)

Foi descoberta na sexta-feira (19/08) uma falha de alto risco no protocolo PHP de serviços web, permitindo que um atacante tomasse controle total sobre servidores vulneráveis.

 

Fonte: IDG Now!

Foi descoberta na sexta-feira (19/08) uma falha de alto risco no protocolo PHP de serviços web, permitindo que um atacante tomasse controle total sobre servidores vulneráveis.

A falha foi encontrada nas bibliotecas XML-RPC para PHP e PEAR XML_RPC, em uma auditoria conduzida pelo projeto Hardened-PHP.

O grupo afirma que a brecha pode ser explorada da mesma forma que outras vulnerabilidades anteriormente reveladas, particularmente com as instruções eval() .

"Para se livrar dessa e de outras falhas envolvendo o eval(), o projeto Hardened-PHP e os mantenedores dessas bibliotecas desenvolveram uma correção que elimina completamente o uso da instrução", comunicou o Hardened-PHP em um alerta em sua página.

RPCs (Remote Procedure Call) baseados em linguagem XML, como o XML-RPC, são utilizados em conjunto com o protocolo HTTP para reforçar serviços web. Tanto o XML-RPC para PHP (também chamado de PHPXMLRPC) e o PEAR XML_RPC implementam o XML-RPC para a linguagem PHP.

A falha afeta diversas aplicações web, como blogs, páginas wiki (nas quais o internauta pode editar o conteúdo) e outros gerenciadores de conteúdo baseados na linguagem PHP. As bibliotecas PHPXMLRPC e PEAR XML_RPC são utilizadas nas aplicações PostNuke, Drupal, b2evolution e TikiWiki.

Para resolver o problema, basta atualizar a biblioteca PEAR XML_RPC para a versão 1.4.0 (clique aqui para baixar) ou para a versão 1.2 da PHPXMLRPC (clique aqui).

bug.jpg

 

 
Você precisa estar logado para dar um feedback. Clique aqui para efetuar o login
Ficou com alguma dúvida?