Falhas graves de segurança encontradas no código fonte do PHP - Programadores Brasil
Segurança Digital

Falhas graves de segurança encontradas no código fonte do PHP

2 Mins read

Os mantenedores da linguagem de programação PHP lançaram recentemente as versões mais recentes de PHP para corrigir várias vulnerabilidades de severidade crítica em suas bibliotecas principais e incluídas, a mais grave das quais poderia permitir que invasores remotos executassem códigos arbitrários e comprometessem servidores afetados.

[+] Inusitado: Bebê é batizado de “HTML” nas Filipinas em homenagem ao pai que é desenvolvedor web. Confira

Entenda

O Hypertext Preprocessor, vulgo PHP, é a linguagem de programação da Web baseada em servidor e atualmente está em uso em quase 80% da Internet. Versões mais recentes são mantidas em várias ramificações de PHP: 7.3.9, 7.2.22 e 7.1.32, abordando várias vulnerabilidades de segurança.

Dependendo do tipo, ocorrência e uso da base de código afetada em um aplicativo PHP, a exploração bem-sucedida de algumas das vulnerabilidades mais graves pode permitir que um invasor execute código arbitrário no contexto do aplicativo afetado com privilégios associados a aplicação afetada.

Por outro lado, tentativas fracassadas de exploração desta falha resultarão em uma condição de negação de serviço (DoS) na maioria dos casos, nos sistemas afetados.

As vulnerabilidades podem deixar centenas de milhares de aplicações web que se baseiam em PHP abertos a ataques de execução de código, incluindo sites equipados com alguns sistemas populares de gerenciamento de conteúdo como WordPress (!!!), Drupal e Typo3.

[+] Classes Abstratas em Python - Entenda Como Funcionam

Além dessa, uma vulnerabilidade de execução de código ‘use-after-free’, conhecida como CVE-2019-13224, está presente no Oniguruma, uma popular biblioteca de expressões regulares que acompanha o PHP, além de outras linguagens de programação e aplicações como ATOM e Sublime text.

Um invasor remoto pode explorar essa falha inserindo uma expressão regular especialmente criada em um aplicativo da web afetado, potencialmente levando à execução do código ou causando a divulgação de informações.

“O invasor monta um par de padrões regex e uma cadeia de caracteres, com uma codificação multi-byte para ser manipulada por onig_new_deluxe()”, diz a Red Hat em seu comunicado de segurança onde descreve a vulnerabilidade.

[+] Adolescente aprende programação usando celulares quebrados em casa, viraliza na internet e se torna programador de grande empresa de pagamentos. Entenda a história

Outras falhas corrigidas afetam a curl extension, função Exif, FastCGI Process Manager (FPM), o recurso Opcache entre vários outros.

A boa notícia é que, até o momento, não há relatos de que qualquer uma dessas vulnerabilidades de segurança seja explorada em casos concretos, por invasores.

A equipe de segurança do PHP corrigiu as vulnerabilidades nas versões mais recentes. Portanto, é altamente recomendável que usuários e provedores de hospedagem atualizem seus servidores para a versão mais recente do PHP 7.3.9, 7.2.22 ou 7.1.32.

E você, já atualizou seu PHP? Camarão dá bobeira, a rede arrasta…

[+]


Deixe o seu comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *