PHP 7 : découverte d'une faille dangereuse et simplissime à exploiter

Le par  |  1 commentaire(s)
PHP-logo

Une faille critique vient d'être découverte au sein de PHP7 avec un problème de taille : elle serait particulièrement facile à exploiter.

Andrew Danau, chercheur en sécurité est presque tombé par hasard sur une faille importante au sein de PHP7 dans le cadre d'un évènement "Capture the Flag", un concours de hack.

technologie-hacker

Ce dernier a ainsi mis en avant qu'il était possible, sous certaines conditions, de faire exécuter une commande sur un serveur avec le simple ajout des caractères ?=a suivi d'une commande dans une adresse. Le problème a été remonté à l'équipe de développement de PHP qui a annoncé avoir colmaté la brèche le 21 octobre dernier.

Actuellement, le PHP7 représente 79% des sites Web dans le monde. La faille en question ne concernait toutefois que les serveurs NGINX ayant déployé PHP7 via PHP-FPM. Un cas spécifique qui limite donc les sites concernés, mais cette configuration reste malgré tout privilégié de certains hébergeurs, c'est pourquoi NexCloud a demandé à ses clients de mettre à jour leur version de PHP.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Anonyme
Le #2082455
Un article de qualité.
- Aucune citation des sources
- Une explication de la faille qui n'a aucun sens, "le simple ajout des caractères ?=a suivi d'une commande dans une adresse": Quelle commande? Quelle adresse? De quoi vous parlez??
- La mention de "NexCloud" alors que vous parlez certainement plutôt de "NextCloud"
- Quelle version est concernée?? PHP7 ca veut tout et rien dire, on parle de 7.1.1, 7.1.2, 7.1.3, 7.1.4... 7.3.1...7.3.2........??????

À croire que l'auteur de l'article n'a lui-même absolument rien compris !
Suivre les commentaires
Poster un commentaire
Anonyme
Anonyme