[Helpc] Une nouvelle faille dans le langage PHP menace les serveurs web

  • From: "Shaka( Rudy)" <strub.rudy@xxxxxxxxx>
  • To: <helpc@xxxxxxxxxxxxx>
  • Date: Fri, 26 Jul 2002 16:57:54 +0200

Une nouvelle faille dans le langage PHP menace les serveurs web

Par Robert Lemos
CNET News.com
23 juillet 2002






Le langage de publication web, de plus en plus populaire dans des
architectures Linux/Apache, recèle une autre vulnérabilité pouvant
compromettre le serveur. Une nouvelle version de PHP la corrigeant est
déjà sortie. 
Une faille a été découverte dans les nouvelles versions du langage de
publication web PHP. Elle pourrait permettre à certains agresseurs de
bloquer, voire de contrôler des ordinateurs via l'internet. C'est ce
qu'a annoncé le 22 juillet le groupe de développement du format en
question, PHP Group.
Cette faiblesse concerne les versions 4.2.0 et 4.2.1 de PHP. Cette
dernière compromet différentes architectures d'ordinateurs, et ce de
multiples manières: les serveurs web fonctionnant sous matériel Intel
IA-32 peuvent être bloqués et les autres systèmes, y compris Solaris de
Sun Microsystems, risquent de permettre l'infiltration d'agresseurs.
La faille provient de la manière dont PHP gère la mémoire attribuée aux
données récupérées sur les pages web dans les formulaires des clients.
Ces données sont connues sous le nom de "POST", d'après la commande HTTP
correspondante. Elles pourraient être formatées par un agresseur de
manière à compromettre le serveur web.
«Si vous utilisez PHP 4.2.x, vous devez effectuer la mise à jour aussi
vite que possible», prévient Stefen Esser, le développeur du PHP Group
qui a découvert la faille. «Si vous ne pouvez effectuer la mise à jour
pour quelque raison, le seul moyen de pallier le problème consiste à
désactiver toutes les requêtes POST de votre serveur.»
C'est le second problème de sécurité découvert pour PHP cette année. Un
autre défaut portant sur un nombre plus important de versions avait été
révélé au mois de février. Il aurait pu conduire à encore plus
d'attaques extérieures.
La nouvelle version 4.2.2, finalisée par le PHP Group cette semaine,
corrige le problème. 
PHP est un acronyme qui trouve son origine dans le nom Personal Homepage
avant de devenir PHP Hypertext Preprocessor. Ce langage de publication
conforme aux normes HTML est une solution pratique et "open source" pour
publier des pages web. 
L'ensemble des logiciels constituant la solution est couramment désigné
par le sigle LAMP, chaque lettre représentant un élément logiciel: le
système d'exploitation Linux, le serveur web Apache, la base de données
MySQL et le langage PHP. Parfois, un autre langage de programmation,
Python, est utilisé dans les configurations LAMP.
 
 
 
--->>>
Shaka( Rudy)
HelPC list owner
shaka.rudy@xxxxxxxxx

Other related posts:

  • » [Helpc] Une nouvelle faille dans le langage PHP menace les serveurs web
  1. Home
  2. helpc
  3. Archive
  4. 07-2002