Actualités Internet Divers

PHP 7 : découverte d'une faille dangereuse et simplissime à exploiter

Le mardi 29 Octobre 2019 à 11:10 par Mathieu M. | 2 commentaire(s)

Une faille critique vient d'être découverte au sein de PHP7 avec un problème de taille : elle serait particulièrement facile à exploiter.

Andrew Danau, chercheur en sécurité est presque tombé par hasard sur une faille importante au sein de PHP7 dans le cadre d'un évènement "Capture the Flag", un concours de hack.

Ce dernier a ainsi mis en avant qu'il était possible, sous certaines conditions, de faire exécuter une commande sur un serveur avec le simple ajout des caractères ?=a suivi d'une commande dans une adresse. Le problème a été remonté à l'équipe de développement de PHP qui a annoncé avoir colmaté la brèche le 21 octobre dernier.

Actuellement, le PHP7 représente 79% des sites Web dans le monde. La faille en question ne concernait toutefois que les serveurs NGINX ayant déployé PHP7 via PHP-FPM. Un cas spécifique qui limite donc les sites concernés, mais cette configuration reste malgré tout privilégié de certains hébergeurs, c'est pourquoi NexCloud a demandé à ses clients de mettre à jour leur version de PHP.

Partager ce contenu :

Complément d'information

Cam4 : une faille de sécurité critique expose 7 pétabytes de données et 11 millions d'utilisateurs

Le site pour adultes Cam4 est actuellement pointé du doigt suite à la découverte d'une faille de sécurité qui a exposé les données personnelles de 4 millions d'utilisateurs Français.
Faille critique : Microsoft publie un patch en urgence pour Windows 7 et Windows XP

Une nouvelle faille jugée critique a été repérée et corrigée par Microsoft dans les anciennes versions de Windows. Le correctif poussé en urgence concerne Windows 7 et Windows XP.

Vos commentaires

Trier par : date / pertinence

Anonyme

Le 31/10/2019 à 14:47 #2082455

Un article de qualité.
- Aucune citation des sources
- Une explication de la faille qui n'a aucun sens, "le simple ajout des caractères ?=a suivi d'une commande dans une adresse": Quelle commande? Quelle adresse? De quoi vous parlez??
- La mention de "NexCloud" alors que vous parlez certainement plutôt de "NextCloud"
- Quelle version est concernée?? PHP7 ca veut tout et rien dire, on parle de 7.1.1, 7.1.2, 7.1.3, 7.1.4... 7.3.1...7.3.2........??????

À croire que l'auteur de l'article n'a lui-même absolument rien compris !