PDA

توجه ! این یک نسخه آرشیو شده می باشد و در این حالت شما عکسی را مشاهده نمی کنید برای مشاهده کامل متن و عکسها بر روی لینک مقابل کلیک کنید : تعدادي از نقايص امنيتي php برطرف شد



TAHA
11-27-2009, 12:04 AM
در نسخه‌‌هاي جديد PHP، اشكالات نرم‌افزاري حل شده و در مورد PHP 5.1.2 چند قابليت جديد نيز افزوده شده است.


سرويس خبر شبکه آنلاين – به گزارش سايت اينترنت نيوز، در نسخه‌ جديد PHP، اشكالات نرم‌افزاري حل شده و در مورد PHP 5.1.2 چند قابليت جديد نيز افزوده شده است. به كاربران نسخه‌هاي چهار و پنج PHP توصيه شده است كه براي حفظ خود در مقابل چند مشكل امنيتي، آخرين نسخه‌هاي PHP را دريافت كنند.


علاقه‌مندان مي‌توانند براي دريافت وصله‌هاي جديد PHP به اين نشاني (http://www.hardened-php.net/downloads.13.html) مراجعه کنند.

در PHP 5.1.2 يك نقطه ضعف امنيتي كه در طبقه «حياتي» قرار مي‌گيرد برطرف شده است. اين نقطه ضعف كه
PHP ext/session HTTP Response Splitting Vulnerability (http://www.hardened-php.net/advisory_012006.112.html) نام گرفته است، مي‌تواند راه را براي انجام حملات XSS (يا Cross Site Scripting) باز كند.

نقطه ضعف دوم در PHP 5 تحت عنوان PHP ext/mysqli Format String Vulnerability (http://www.hardened-php.net/advisory_022006.113.html) شناخته شده و از سوي پروژه Hardened PHP (http://www.hardened-php.net/) در طبقه «كم خطر» قرار گرفته است. در صورت سوءاستفاده از اين نقطه ضعف، امكان اجراي كدِ authorize نشده از راه دور فراهم مي‌شود.

طبق اعلام تيم توسعه PHP، در نسخه PHP 5.1.2 بيش از 80 ايراد نرم‌افزاري برطرف شده كه از جمله مي‌توان به انواع crash كردن‌ها و خراب شدن حافظه اشاره كرد. در نسخه PHP 4.4.2 نيز 30 اشكال نرم‌افزاري رفع شده كه يكي از آنها مي‌تواند خطاي XSS را به وجود بياورد.

به گفته Stefan Esser ، بنيانگذار پروژه Hardened-PHP، نسخه 4.4.2 داراي يك سيستم حفاظتي توكار در برابر HTTP Response Splitting است كه همان چيزي است اكنون PHP 5.1.2 دارد. به ادعاي او «اين طبقه از اشكالات امنيتي در برنامه‌هاي PHP، ديگر در نسخه‌هاي آينده PHP قابل سوءاستفاده نخواهد بود».

اكتبر سال گذشته استفان اسر چند مورد از نقاط ضعف PHP 5.x و PHP 4.x را گزارش كرد. در اين مورد خاص، PHP 4 چند هفته زودتر از PHP 5 اصلاح شد. اما در مورد نقطه ضعف جاري، اصلاحيه هر دو PHP تقريباً همزمان ساخته شد.

در كنار اصلاح PHP 5 و PHP 4 كار روي نسخه ششم نيز صورت مي‌گيرد. به گفته اسر PHP 6.x از مرحله بتا فراتر رفته است و بيشتر كد آن (از جمله امكانات يوني‌کد) با PHP 5.1 يكسان است.
مدير پروژه Hardened-PHP افزود: از آنجا كه ما زمان بسيار محدودي داريم، فقط نسخه‌هايي را با دقت بررسي مي‌كنيم كه به لحظه انتشارشان نزديك شده يا قبلاً منتشر شده باشند.

به گفته وي فاصله زماني بين كشف نقطه آسيب‌پذير تا انتشار اصلاحيه آن قابل قبول بوده است.