Falha na linguagem PHP afecta serviços web

[deathseeker25]

Foi descoberta na sexta-feira (19/08) uma falha de alto risco no protocolo PHP de serviços web, permitindo que um utilizador tomasse controlo total sobre servidores vulneráveis.

A falha foi encontrada nas bibliotecas XML-RPC para PHP e PEAR XML_RPC, numa auditoria conduzida pelo projeto Hardened-PHP.

O grupo afirma que a falah pode ser explorada da mesma forma que outras vulnerabilidades anteriormente reveladas, particularmente com as instruções eval() .

"Para se livrar dessa e de outras falhas envolvendo o eval(), o projecto Hardened-PHP e os mantenedores dessas bibliotecas desenvolveram uma correcção que elimina completamente o uso da instrução", comunicou o Hardened-PHP num alerta na sua página.

RPCs (Remote Procedure Call) baseados em linguagem XML, como o XML-RPC, são utilizados em conjunto com o protocolo HTTP para reforçar serviços web. Tanto o XML-RPC para PHP (também chamado de PHPXMLRPC) e o PEAR XML_RPC implementam o XML-RPC para a linguagem PHP.

A falha afecta diversas aplicações web, como blogs, páginas wiki (nas quais o utilizador pode editar o conteúdo) e outros gerenciadores de conteúdo baseados na linguagem PHP. As bibliotecas PHPXMLRPC e PEAR XML_RPC são utilizadas nas aplicações PostNuke, Drupal, b2evolution e TikiWiki.

Fonte: Infortech United

[satanuke]

Isso já foi descoberto a 1 de Julho de 2005, entretante já foi lançada uma nova versão (PHP 4.4.0) que resolve esses problemas e outros bugs menores. De tempos a tempos aconteçem dessas coisas. Mas resolvem-se depressa, é a maravilha do open-source.

[pebat]

e tb ja anda ai o PHP5 😛

[satanuke]

Exacto, esse é a proxima geração do PHP, por enquanto a maioria dos servidores usam PHP4 (alguns PHP3), existem os 2 ramos do PHP, o PHP5 deve ser usado para desenvolvimento de aplicações a serem usadas futuramente.

[pebat]

Sim...

Ja lim em algum lado que ja vem com a possiblidade de orientaçao objectos... se assim for fica mto poderosa .... mas vamos la ver a velocidade de resposta fica o msm que tem agora ...

[satanuke]

O PHP4 já tem suporte a objectos, existem uns quantos scripts desenvolvidos com OO como por exemplo os Xoops, no entanto o PHP5 trás um suporte muito mais simples e eficaz para tratamento de objectos.

[pebat]

sim eu sei ... so tava a referir k vinha mais facil.... mas na eu php4 ainda nao sou barra men devo ficar :s falta de tempo para aprendizagem.... deixa la ver dpx no php5 se nao se tem k saber bastante o php4

[satanuke]

Eu também não, nem seque trabalho com objectos, por enquanto, mas esta linguagem tem-me fascinado muito ultimamente. Tá a ser muito fixe de aprender... 8)

[deathseeker25]

Eu também não, nem seque trabalho com objectos, por enquanto, mas esta linguagem tem-me fascinado muito ultimamente. Tá a ser muito fixe de aprender...

Subscrevo. Muito fixe e intuitiva. Gosto bastante do PHP. Aind anão elaborei nenhum projecto, mas estou a pensar fazer um pequeno a nivel pessoal brevemente.

Cumps