Encontradas Múltiplas Falhas no PHP

Mantenedores encontraram múltiplas falhas na execução de códigos da linguagem PHP. Apesar da severidade das falhas tanto no núcleo da linguagem quanto em suas bibliotecas padrão, a equipe responsável lestá lançando correções nas novas versões.

A linguagem que sustenta 78% da internet de hoje se encontra sob trabalho de correção de falhas, sendo que a mais grave delas permite execução de códigos alheios à aplicação que podem comprometer o servidor.

As versões que estão sendo atualizadas para corrigir os defeitos são a 7.3.9, 7.2.22 e 7.1.32. Vale dizer que as correções abarcam uma ampla gama de falhas.

As vulnerabilidades

Entre as múltiplas falhas encontradas no PHP, a mais grave delas permite a execução de código intruso, sendo necessário adicionar que esse código malicioso é executado com os mesmos privilégios que a aplicação tem dentro do servidor.

Uma informação igualmente perturbadora é o que acontece em caso de falha no ataque pela vulnerabilidade dita acima: uma condição de Negação de Serviço (Denial of Service – DoS) no servidor alvo. Em outras palavras, o ataque causará problemas independentemente do resultado da invasão.

É preciso ainda fazer mais um comentário. Esse, por sua vez, mais geral: como muitas ferramentas são feitas em PHP, essas falhas podem comprometer aplicações baseadas em WordPress, Drupal e Typo3, por exemplo.

As bibliotecas afetadas

É necessário também abordar quais bibliotecas foram, de fato, afetadas. O caso mais emblemático é o da biblioteca Oniguruma, responsável por lidar com expressões regulares. A falha em questão é chamada de use-after-free, a qual é explicada a seguir.

A falha use-after-free acontece quando um invasor consegue usar uma parte da memória depois de liberada pela aplicação para injetar códigos maliciosos. Nos casos mais graves, pode resultar em controle remoto total.

Voltando à Oniguruma, o problema está na função onig_new_deluxe(), onde é possível injetar códigos maliciosos ou, no mais brando dos casos, corromper informações.

As correções

Em primeiro lugar é importante dizer que as múltiplas falhas encontradas no PHP estão sendo corrigidas pelos responsáveis pela linguagem. A segunda boa noticia é que, até o momento, não há relatórios de uso dessas vulnerabilidades para fins maliciosos.

Por fim, o time do PHP recomenda que os provedores de hospedagem atualizem seu PHP para as versões 7.3.9, 7.2.22 ou 7.1.32.

Fonte: The Hacker News.

Como instalar o Visual Studio Code – OSS no Ubuntu, Fedora, Debian, CentOS e openSUSE!

Malware envia 30 mil e-mails de extorsão sexual por hora

Como instalar o Widelands no Ubuntu, Fedora, Debian, CentOS e openSUSE! Um jogo de estratégia!

Jogo de FPS ‘Project RIP’ foi lançado para Linux

Bug pode permitir ataques via Wi-Fi no Linux

Click to Pray eRosary: primeiro dispositivo inteligente do Vaticano para rezar o rosário!

Encontradas Múltiplas Falhas no PHP

As múltiplas falhas encontradas no PHP vão desde o comprometimento de informações até a possibilidade de execução de códigos maliciosos e DoS.

As vulnerabilidades

As bibliotecas afetadas

As correções

Escrito por Cicero Matheus

Malware envia 30 mil e-mails de extorsão sexual por hora

Bug pode permitir ataques via Wi-Fi no Linux

Click to Pray eRosary: primeiro dispositivo inteligente do Vaticano para rezar o rosário!

Veja 10 coisas para fazer após instalar o Ubuntu 19.10

Driver NVIDIA 440.26 Beta Linux traz HDMI 2.1 VRR

WireGuard está de volta à loja Google Play do Android

Android 10: Alarme soará se a porta de carregamento estiver suja ou superaquecendo!

Atualização do Telegram adiciona agendamento de mensagens, lembretes pessoais e novas opções de temas

Malware envia 30 mil e-mails de extorsão sexual por hora

Jogo de FPS ‘Project RIP’ foi lançado para Linux

Bug pode permitir ataques via Wi-Fi no Linux

Click to Pray eRosary: primeiro dispositivo inteligente do Vaticano para rezar o rosário!