PHP

Картинка: 

При компрометации системы хакеры создают правила mod_rewrite, предотвращающие повторную эксплуатацию уязвимости.

Специалисты из компании Trustwave сообщили о том, им известны множественные случаи эксплуатации уязвимости PHP (CVE-2012-1823/CVE-2012-2311), связанной с CGI-настройкой . Напомним, что данная уязвимость была обнаружена в ходе конкурса Nullcon CTF в январе этого года и устранена в начале мая. В течение недели разработчики PHP выпустили еще одно исправление, которое устранило дополнительные векторы уязвимости, а также еще одну уязвимость компрометации системы в ветке 5.4.x. Читать далее »

Картинка: 

Более 1000 блогов на платформе Wordpress уже инфицированы зловредом, который заранее внедрился в скрипт автоматического обновления wp-admin/includes/update.php. Атаку обнаружил Денис Синегубко из компании Unmask Parasites.

Поскольку атака началась в районе 20 апреля, перед выходом новой версии Wordpress 3.3.2, к настоящему моменту функцией автоматического обновления воспользовалось большое количество админов. Многие из них, таким образом, добавили в свои блоги вредоносный код.

Инфицированные сайты осуществляют редирект по следующим адресам: Читать далее »

Картинка: 

На форумах Reddit опубликовали копию закрытого обсуждения критической уязвимости CVE-2012-1823 в конфигурациях PHP-CGI, которая была обнаружена в январе 2012 года, а нормальный патч для неё ещё не готов. По чистой случайности обсуждение этой уязвимости пометили как открытое — и его сразу скопировали на Reddit, так что информация о баге стала достоянием общественности. Читать далее »

Картинка: 

Обнаруженная уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.

Вчера вышла новая версия PHP 5.3.10, которая, по существу, является патчем на патч. В декабре прошлого года стало известно об уязвимости, связанной с функциями генерации хеша при обработке HTTP POST запросов (CVE-2011-4885). Уязвимость позволяла удаленному пользователю произвести DoS атаку. В середине января вышло исправление безопасности (PHP 5.3.9), в котором эта уязвимость была устранена. Читать далее »

Картинка: 

Компания n.runs AG опубликовала сведедения о наличии уязвимости во всех популярных web-серверах и языках программирования.

Причиной существования уязвимости являются хеш-таблицы, которые используются в большинстве случаев для хранения структур данных. Серверы приложений или web-платформы, как правило, автоматически осуществляют обработку контролируемых атакующим данных POST форм посредством хеш-таблиц, чтобы таким образом давать возможность разработчикам приложений работать с этими данными. Читать далее »

Картинка: 

Социальная сеть Facebook накануне сообщила о выпуске специализированной виртуальной машины для PHP - HipHop Virtual Machine (HHVM).

В Facebook говорят, что их виртуальная машина становится бесплатной для всех разработчиков, создающих коды на языке веб-разработки PHP. Читать далее »

Картинка: 

Сегодня на сайте PHP Project появилась рекомендация не устанавливать последнюю доступную версию PHP 5.3.7 из-за наличия ошибки безопасности. Вследствие выхода последней версии PHP 5.3.7, в которой было устранено 6 уязвимостей, в код функции crypt() были внесены некоторые изменения, которые нарушают корректность работы этой функции. В результате допущенной ошибки, функция crypt() для MD5 хешей возвращает только значение salt, вместо хеша. Читать далее »

Картинка: 

Вышла новая версия PHP 5.3.7, в которой было устранено 6 уязвимостей. По оценке SecurityLab, максимальный рейтинг опасности для всех уязвимостей – низкий. 3 устраненные уязвимости потенциально позволяют выполнение произвольного кода, но сложны в эксплуатации, поскольку атакующий должен иметь возможность влиять на данные, передаваемые уязвимым функциям. Читать далее »

Картинка: 

Вышла новая версия PHP 5.3.7, в которой было устранено 6 уязвимостей. Читать далее »