Razvojni programeri PHP-a objavili su zakrpu kojom sprečavaju napade na sustave koji koriste skriptne jezike za generiranje dinamičkih web stranica. Administratorima se preporučuje nadogradnja PHP-a verzija 5.4.3 i 5.3.13. Ozbiljan sigurnosni propust u postavkama PHP-CGI sučelja nedavno je otkriven iako postoji već duže vrijeme. Propust je ispravljen sa zakrpom koja je izdana 8. svibnja. Problemi su nastali kada je PHP-CGI sučelje tijekom proteklih dana postalo meta web stranicama koje poslužuje DreamHost. Pokušaj iskorištavanja sigurnosnog propusta su zabilježili i honeypoti postavljeni u TrustWare SpiderLabsu. Utvrdili su da je glavna prijetnja zlonamjernih skripti bila instalacija backdoor programa. Slanje upita ‘?-s’ PHP skripti rezultiralo je pokretanjem PHP interpretera sa ‘-s’ argumentom, što se u konačnici iskorištavalo za izvršavanje proizvoljnog koda na udaljenom računalu.
$downloadlink = get_field('download_link'); ?>Sigurnosni propust u PHP-CGI sučelju
Izvor: The Register