Appena un mese fa, il team di sviluppo di PHP aveva rilasciato nuove versioni del linguaggio di scripting interpretato con lo scopo di sanare una pericolosa vulnerabilità scoperta anche in molti altri pacchetti software (ad esempio il framework .Net di Microsoft). Gli esperti di n-runs, avevano comunicato di aver messo a nudo una lacuna in molteplici prodotti usati lato server – PHP compreso – in grado di facilitare attacchi DoS (Denial of Service). Sferrando un attacco mirato, infatti, un aggressore può arrivare in breve tempo ad esaurire le risorse disponibili sulla macchina (memoria e processore) causando, di fatto, l’irraggiungibilità di tutti i siti presenti sul server (ved., per maggiori informazioni, questo documento PDF).
Per risolvere il problema, gli sviluppatori del linguaggio PHP hanno introdotto il supporto di un nuovo parametro (max_input_var
) per limitare il numero delle informazioni che possono essere trasmesse, in input, ad una qualunque pagina dinamica.
Putrtroppo, però, nelle scorse ore è emerso che la “patch” è stata implementata in modo scorretto in PHP introducendo un’ulteriore e più pericolosa vulnerabilità. Quest’ultima, infatti, potrebbe portare addirittua all’esecuzione di codice potenzialmente dannoso sulla macchina server. Agli utenti di PHP 5.3.9 viene quindi consigliato di aggiornarsi tempestivamente alla versione 5.3.10, appena resa disponibile.
Chi utilizzasse un framework PHP è bene faccia riferimento al sito web del produttore in modo da verificare la disponibilità di aggiornamenti o di “hotfix” risolutivi.