TAHA
11-27-2009, 12:04 AM
در نسخههاي جديد PHP، اشكالات نرمافزاري حل شده و در مورد PHP 5.1.2 چند قابليت جديد نيز افزوده شده است.
سرويس خبر شبکه آنلاين – به گزارش سايت اينترنت نيوز، در نسخه جديد PHP، اشكالات نرمافزاري حل شده و در مورد PHP 5.1.2 چند قابليت جديد نيز افزوده شده است. به كاربران نسخههاي چهار و پنج PHP توصيه شده است كه براي حفظ خود در مقابل چند مشكل امنيتي، آخرين نسخههاي PHP را دريافت كنند.
علاقهمندان ميتوانند براي دريافت وصلههاي جديد PHP به اين نشاني (http://www.hardened-php.net/downloads.13.html) مراجعه کنند.
در PHP 5.1.2 يك نقطه ضعف امنيتي كه در طبقه «حياتي» قرار ميگيرد برطرف شده است. اين نقطه ضعف كه
PHP ext/session HTTP Response Splitting Vulnerability (http://www.hardened-php.net/advisory_012006.112.html) نام گرفته است، ميتواند راه را براي انجام حملات XSS (يا Cross Site Scripting) باز كند.
نقطه ضعف دوم در PHP 5 تحت عنوان PHP ext/mysqli Format String Vulnerability (http://www.hardened-php.net/advisory_022006.113.html) شناخته شده و از سوي پروژه Hardened PHP (http://www.hardened-php.net/) در طبقه «كم خطر» قرار گرفته است. در صورت سوءاستفاده از اين نقطه ضعف، امكان اجراي كدِ authorize نشده از راه دور فراهم ميشود.
طبق اعلام تيم توسعه PHP، در نسخه PHP 5.1.2 بيش از 80 ايراد نرمافزاري برطرف شده كه از جمله ميتوان به انواع crash كردنها و خراب شدن حافظه اشاره كرد. در نسخه PHP 4.4.2 نيز 30 اشكال نرمافزاري رفع شده كه يكي از آنها ميتواند خطاي XSS را به وجود بياورد.
به گفته Stefan Esser ، بنيانگذار پروژه Hardened-PHP، نسخه 4.4.2 داراي يك سيستم حفاظتي توكار در برابر HTTP Response Splitting است كه همان چيزي است اكنون PHP 5.1.2 دارد. به ادعاي او «اين طبقه از اشكالات امنيتي در برنامههاي PHP، ديگر در نسخههاي آينده PHP قابل سوءاستفاده نخواهد بود».
اكتبر سال گذشته استفان اسر چند مورد از نقاط ضعف PHP 5.x و PHP 4.x را گزارش كرد. در اين مورد خاص، PHP 4 چند هفته زودتر از PHP 5 اصلاح شد. اما در مورد نقطه ضعف جاري، اصلاحيه هر دو PHP تقريباً همزمان ساخته شد.
در كنار اصلاح PHP 5 و PHP 4 كار روي نسخه ششم نيز صورت ميگيرد. به گفته اسر PHP 6.x از مرحله بتا فراتر رفته است و بيشتر كد آن (از جمله امكانات يونيکد) با PHP 5.1 يكسان است.
مدير پروژه Hardened-PHP افزود: از آنجا كه ما زمان بسيار محدودي داريم، فقط نسخههايي را با دقت بررسي ميكنيم كه به لحظه انتشارشان نزديك شده يا قبلاً منتشر شده باشند.
به گفته وي فاصله زماني بين كشف نقطه آسيبپذير تا انتشار اصلاحيه آن قابل قبول بوده است.
سرويس خبر شبکه آنلاين – به گزارش سايت اينترنت نيوز، در نسخه جديد PHP، اشكالات نرمافزاري حل شده و در مورد PHP 5.1.2 چند قابليت جديد نيز افزوده شده است. به كاربران نسخههاي چهار و پنج PHP توصيه شده است كه براي حفظ خود در مقابل چند مشكل امنيتي، آخرين نسخههاي PHP را دريافت كنند.
علاقهمندان ميتوانند براي دريافت وصلههاي جديد PHP به اين نشاني (http://www.hardened-php.net/downloads.13.html) مراجعه کنند.
در PHP 5.1.2 يك نقطه ضعف امنيتي كه در طبقه «حياتي» قرار ميگيرد برطرف شده است. اين نقطه ضعف كه
PHP ext/session HTTP Response Splitting Vulnerability (http://www.hardened-php.net/advisory_012006.112.html) نام گرفته است، ميتواند راه را براي انجام حملات XSS (يا Cross Site Scripting) باز كند.
نقطه ضعف دوم در PHP 5 تحت عنوان PHP ext/mysqli Format String Vulnerability (http://www.hardened-php.net/advisory_022006.113.html) شناخته شده و از سوي پروژه Hardened PHP (http://www.hardened-php.net/) در طبقه «كم خطر» قرار گرفته است. در صورت سوءاستفاده از اين نقطه ضعف، امكان اجراي كدِ authorize نشده از راه دور فراهم ميشود.
طبق اعلام تيم توسعه PHP، در نسخه PHP 5.1.2 بيش از 80 ايراد نرمافزاري برطرف شده كه از جمله ميتوان به انواع crash كردنها و خراب شدن حافظه اشاره كرد. در نسخه PHP 4.4.2 نيز 30 اشكال نرمافزاري رفع شده كه يكي از آنها ميتواند خطاي XSS را به وجود بياورد.
به گفته Stefan Esser ، بنيانگذار پروژه Hardened-PHP، نسخه 4.4.2 داراي يك سيستم حفاظتي توكار در برابر HTTP Response Splitting است كه همان چيزي است اكنون PHP 5.1.2 دارد. به ادعاي او «اين طبقه از اشكالات امنيتي در برنامههاي PHP، ديگر در نسخههاي آينده PHP قابل سوءاستفاده نخواهد بود».
اكتبر سال گذشته استفان اسر چند مورد از نقاط ضعف PHP 5.x و PHP 4.x را گزارش كرد. در اين مورد خاص، PHP 4 چند هفته زودتر از PHP 5 اصلاح شد. اما در مورد نقطه ضعف جاري، اصلاحيه هر دو PHP تقريباً همزمان ساخته شد.
در كنار اصلاح PHP 5 و PHP 4 كار روي نسخه ششم نيز صورت ميگيرد. به گفته اسر PHP 6.x از مرحله بتا فراتر رفته است و بيشتر كد آن (از جمله امكانات يونيکد) با PHP 5.1 يكسان است.
مدير پروژه Hardened-PHP افزود: از آنجا كه ما زمان بسيار محدودي داريم، فقط نسخههايي را با دقت بررسي ميكنيم كه به لحظه انتشارشان نزديك شده يا قبلاً منتشر شده باشند.
به گفته وي فاصله زماني بين كشف نقطه آسيبپذير تا انتشار اصلاحيه آن قابل قبول بوده است.