Várias falhas de execução de código encontradas na linguagem de programação PHP

Os mantenedores da linguagem de programação PHP lançaram recentemente as versões mais recentes do PHP para corrigir várias vulnerabilidades de alta gravidade em suas bibliotecas principais e agrupadas, a mais grave das quais poderia permitir que atacantes remotos executassem códigos arbitrários e comprometessem servidores de destino.

O pré-processador de hipertexto, vulgarmente conhecido como PHP, é a linguagem de programação da Web mais popular no servidor, que atualmente alimenta mais de 78% da Internet.

As versões mais recentes em várias ramificações mantidas incluem o PHP versão 7.3.9, 7.2.22 e 7.1.32, abordando várias vulnerabilidades de segurança.

Dependendo do tipo, ocorrência e uso da base de código afetada em um aplicativo PHP, a exploração bem-sucedida de algumas das vulnerabilidades mais graves pode permitir que um invasor execute código arbitrário no contexto do aplicativo afetado com privilégios associados.

Por outro lado, tentativas fracassadas de exploração provavelmente resultarão em uma condição de negação de serviço (DoS) nos sistemas afetados.

As vulnerabilidades podem deixar centenas de milhares de aplicativos da Web que dependem do PHP abertos a ataques de execução de código, incluindo sites equipados com alguns sistemas populares de gerenciamento de conteúdo como WordPress, Drupal e Typo3.

Dessas, uma vulnerabilidade de execução de código ‘use-after-free’, atribuída como CVE-2019-13224, reside no Oniguruma, uma popular biblioteca de expressões regulares que acompanha o PHP, além de muitas outras linguagens de programação.

Um invasor remoto pode explorar essa falha inserindo uma expressão regular especialmente criada em um aplicativo da web afetado, potencialmente levando à execução do código ou causando a divulgação de informações.

“O invasor fornece um par de um padrão regex e uma cadeia de caracteres, com uma codificação de vários bytes manipulada por onig_new_deluxe ()”, diz a Red Hat em seu comunicado de segurança que descreve a vulnerabilidade.”

Outras falhas corrigidas afetam a extensão de curvatura, a função Exif, o FastCGI Process Manager (FPM), o recurso Opcache e muito mais.

A boa notícia é que, até o momento, não há relatos de que qualquer uma dessas vulnerabilidades de segurança seja explorada na natureza por invasores.

A equipe de segurança do PHP abordou as vulnerabilidades nas versões mais recentes. Portanto, é altamente recomendável que usuários e provedores de hospedagem atualizem seus servidores para a versão mais recente do PHP 7.3.9, 7.2.22 ou 7.1.32.

Caso o seu servidor de hospedagem não forneça nenhuma dessas versões de PHP que está com a correção da falha no PHP, visite: https://www.deltaservers.com.br/hospedagens-de-sites para conhecer todos os nossos planos de hospedagem de sites.

Author: Lucas Alves

Deixe uma resposta

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.