PHP повторно устранила уязвимость раскрытия исходного кода

Картинка: 

Разработчики PHP устранили дополнительные векторы эксплуатации уязвимости.

Группа разработчиков PHP выпустила второе в этом месяце обновление, в котором устранила уязвимость раскрытия важных данных, связанную с CGI надстройкой. Напомним, что эта уязвимость была обнаружена в ходе Nullcon CTF, когда стало известно, что строка запроса ?-s приводила к выполнению аргумента -s и раскрытию исходного кода. Дальнейший анализ показал, что уязвимость существовала в PHP приблизительно с 2004 года.

После того, как об уязвимости стало известно, производитель выпустил обновления безопасности 5.3.12 и 5.4.2. В скором времени стало известно, что эти обновления, а также инструкции по временному решению не полностью устраняют уязвимость, и существуют пути ее дальнейшей эксплуатации.

В ветке 5.4.х также была устранена уязвимость CVE-2012-2329, позволявшая вызвать переполнение буфера и скомпрометировать целевую систему.

С подробным описанием уязвимостей можно ознакомиться здесь:
http://www.securitylab.ru/vulnerability/424297.php
http://www.securitylab.ru/vulnerability/424111.php

securitylab.ru