Avslører over 30 PHP-feil

Grunnleggeren av Hardened-PHP og PHP Security Response Team (SRT), Stefan Esser, vil i løpet av mars måned avdekke en rekke feil i PHP. Han forlot nylig PHP SRT på grunn av misnøye med hvordan utviklerne behandlet sikkerhetshull som ble oppdaget i PHP.

Nå skal Esser, i samarbeid med noen andre, avsløre én feil om dagen i hele mars; noen dager må han også slippe flere feil.

Det er uklart om PHP-utviklerne vil fikse hullene med en gang, men Esser påstår at han har påpekt alle disse hullene for flere PHP-utviklere tidligere, uten at de har gjort noe med dem.

Feilene vil i all hovedsak konsentrere seg om PHP5, men mye av koden er felles mellom PHP4 og PHP5, slik at disse hullene også kan brukes mot PHP4-installasjoner.

Utviklerne bak PHP er kjent for å sjelden slippe sikkerhetsoppdateringer, og det er lite trolig at de kommer til å slippe oppdateringer før alle feilene er avdekket og fikset.

Oppdatering fra Ubuntu

Ubuntu slapp i går en sikkerhetsoppdatering av sine PHP5-pakker, som fikser flere såkalte overflytsfeil. Ifølge Tollef Fog Heen, utvikler for Ubuntu, er dette relatert til den kommende måneden med PHP-feil.

Ubuntu vil derimot ikke fikse disse feilene i PHP4, siden de ikke er en del av det såkalte universe-repositoriet. Også Fedora og Red Hat har sluppet oppdateringer til PHP5.

Du bør sjekke om din distribusjon kommer med oppdateringer av PHP fremover, og holde deg til den versjonen de offisielt støtter. Du bør også følge med hver dag i mars om det kommer nye oppdateringer.

Problemer for driftere

Kanskje spesielt for større bedrifter kan dette være et mareritt av dimensjoner, siden det ikke alltid er trivielt å oppgradere fra PHP4 til PHP5. Nå har driftsavdelinger rundt om i verden få dager på seg til å få oppgradert alle systemer til PHP5 om de skal ha sikre systemer. Etter at et sikkerhetshull er avdekket, pleier det ikke å gå særlig lang tid før en metode for å utnytte hullet er avdekket.

Blant annet har Hardware.nos driftsavdeling lagt fra seg alt annet arbeid, og konsentrerer seg fremover kun om å oppgradere våre systemer til PHP5. Dette er en formidabel jobb ettersom svært få av Hardware-nettverkets løsninger baserer seg på PHP5 i dag.

(Kilder: SecurityFocus, Ubuntu, LWN.net)

Kommentarer (23)

Norges beste mobilabonnement

Mars 2017

Kåret av Tek-redaksjonen

Jeg bruker lite data:

Komplett MiniFlex 1GB


Jeg bruker middels mye data:

Telio FriBruk 5GB+EU


Jeg bruker mye data:

Komplett MaxiFlex 10GB


Jeg er superbruker:

Komplett MegaFlex 30GB


Finn billigste abonnement i vår mobilkalkulator

Forsiden akkurat nå

Til toppen