Mantenedores encontraram múltiplas falhas na execução de códigos da linguagem PHP. Apesar da severidade das falhas tanto no núcleo da linguagem quanto em suas bibliotecas padrão, a equipe responsável lestá lançando correções nas novas versões.
A linguagem que sustenta 78% da internet de hoje se encontra sob trabalho de correção de falhas, sendo que a mais grave delas permite execução de códigos alheios à aplicação que podem comprometer o servidor.
As versões que estão sendo atualizadas para corrigir os defeitos são a 7.3.9, 7.2.22 e 7.1.32. Vale dizer que as correções abarcam uma ampla gama de falhas.
As vulnerabilidades
Entre as múltiplas falhas encontradas no PHP, a mais grave delas permite a execução de código intruso, sendo necessário adicionar que esse código malicioso é executado com os mesmos privilégios que a aplicação tem dentro do servidor.
Uma informação igualmente perturbadora é o que acontece em caso de falha no ataque pela vulnerabilidade dita acima: uma condição de Negação de Serviço (Denial of Service – DoS) no servidor alvo. Em outras palavras, o ataque causará problemas independentemente do resultado da invasão.
É preciso ainda fazer mais um comentário. Esse, por sua vez, mais geral: como muitas ferramentas são feitas em PHP, essas falhas podem comprometer aplicações baseadas em WordPress, Drupal e Typo3, por exemplo.
As bibliotecas afetadas
É necessário também abordar quais bibliotecas foram, de fato, afetadas. O caso mais emblemático é o da biblioteca Oniguruma, responsável por lidar com expressões regulares. A falha em questão é chamada de use-after-free, a qual é explicada a seguir.
A falha use-after-free acontece quando um invasor consegue usar uma parte da memória depois de liberada pela aplicação para injetar códigos maliciosos. Nos casos mais graves, pode resultar em controle remoto total.
Voltando à Oniguruma, o problema está na função onig_new_deluxe(), onde é possível injetar códigos maliciosos ou, no mais brando dos casos, corromper informações.
As correções
Em primeiro lugar é importante dizer que as múltiplas falhas encontradas no PHP estão sendo corrigidas pelos responsáveis pela linguagem. A segunda boa noticia é que, até o momento, não há relatórios de uso dessas vulnerabilidades para fins maliciosos.
Por fim, o time do PHP recomenda que os provedores de hospedagem atualizem seu PHP para as versões 7.3.9, 7.2.22 ou 7.1.32.
Fonte: The Hacker News.
