PHP მეშვიდე ვერსიეაში 3 კრიტიკული სისუსტე დააფიქსირეს

„PHP 7“-ი ვებ-პროგრამირების პოპულარული ენის ბოლო ვერსიაა, რომელზც ვებგვერდების თითქმის 80%-ი მუშაობს (როგორც პატარა და საშუალო, ისე დიდი მასშტაბის ვებსგვერდები). შესაბამისად, „PHP“-ი ე.წ „ჰაკერების“ სამიზნედ ხშირედ იქცევა ხოლმე (პროგრამაში სისუსტეების პოვნისა და შემდგომ მათი გამოყენების მიზნით).

კომპანია „ჩეკპოინტი“ (CheckPoint), ბოლო რამდენიმე თვის მანძილზე აქტიურად მუშაობდა „PHP“- ში სისუსტეების პოვნაზე. კონკრეტულად კი, მუშაობდნენ „PHP“-ის ე.წ. “Unserialize”-ის მექანიზმზე, რომელშიც სისუსტეების არსებობის დოდი შანსი იყო. შედეგად, კომპანიის თანამშრომლებმა 3 კრიტიკული ე.წ. „zero-day“ სისუსტე დააფიქსირეს.

ეს სისუსტეებია:

CVE-2016-7479
CVE-2016-7480
CVE-2016-7478

პირველი 2 სისუსტის მეშვეობით შემტევს საშუალება ეძლეოდა სრული კონტროლი მოეპოვებინა სერვერზე, ასევე გაევრცელებინა მავნე კოდი, მოეპარა მომხმარებლის ინფორმაცია და ა.შ.

ხოლო მესამე სისუსტის მეშვეობით შესაძლებელი იყო ე.წ. “DoS” შეტევის განხორციელება, რომელიც ვებგვერდის მუშაობას შეაჩერებდა.

კომპანია „ჩეკპოინტმა“ აღნიშნული სისუსტეების შესახებ შესაბამის ჯგუფს 6 აგვისტოს და 15 სექტემბერს შეატყობინა. შესაბამისად, „PHP“-ის უსაფრთხოების გუნდმა განახლებები გამოუშვა, რომლებიც 13 ოტომბერითა და 1 დეკემბრით თარიღდებიან (აღსანიშნავია, რომ ამის მიუხედავად, ერთი სისუსტე ჯერ კიდევ აღმოუფხვრელი რჩება).

გარდა განახლებებისა, „ჩეკპოინტმა“ სამივე სისუსტისთვის შემოგვთავაზა „IPS“-ის (Intrusion Prevention System) ე.წ. “Rule”-ები.

დეტალური ოფიციალური ტექნიკური ინფორმაციისათვის, იხილეთ ქვემოთ მოცემული ბმული, რომელზეც დაწვრილებით არის აღწერილი აღნიშნული სისუსტეები:

http://blog.checkpoint.com/…/20…/12/PHP_Technical_Report.pdf

საქართველოს იუსტიციის სამინისტროს სსიპ „მონაცემთა გაცვლის სააგენტოს“ სამთავრობო კომპიუტერულ ინციდენტებზე სწრაფი დახმარების ჯგუფი CERT-GOV-GE გაძლევთ რეკომენდაციას, პირველივე შესაძლებლობისთანავე განაახლოთ „PHP“-ის პროგრამული უნზრუნველყოფა და, თუ ეს შესაძლებელია, „IPS“-ის სისტემაზე დაამატოთ „ჩეკპოინტის“ მიერ მომზადებული ე.წ. “Rule”-ები.


წყარო: https://www.facebook.com/certgovge



მასალის გამოყენების პირობები

გაუზიარე: