Les dernières versions de PHP ont été récemment libérés (PHP version 7.3.9, 7.2.22 et 7.1.32 à travers plusieurs branches) pour traiter plusieurs vulnérabilités hautement critiques du noyau et les bibliothèques groupées. La de ces vulnérabilités les plus dangereuses sont celles qui pourraient conduire à l'exécution de code à distance.
Presque 80% de tous les sites fonctionnent sur PHP. Plus particulièrement, "PHP est utilisé par 78.9% de tous les sites dont le langage de programmation côté serveur, nous savons", selon les statistiques W3Techs. Cela signifie que les vulnérabilités pourraient affecter un grand nombre d'applications Web qui utilisent PHP, y compris les sites qui fonctionnent sur les systèmes de gestion de contenu tels que WordPress et Drupal, chercheurs avertissent.
Plus précisement, selon le code de base affecté dans une application PHP, le pire scénario attaques basées sur ces failles pourraient permettre aux acteurs de la menace d'exécuter du code arbitraire dans le contexte de l'application. Dans le cas d'une tentative d'exploitation a échoué, un déni de service (DoS) condition pourrait être déclenchée sur les systèmes affectés.
En savoir plus sur CVE-2019-13224
Le pire des défauts est connu sous le CVE-2019-13224 consultatif. Selon la description officielle CVE-2019-13224, la vulnérabilité est «une utilisation ultérieure libre dans onig_new_deluxe() dans regext.c en Oniguruma 6.9.2» Qui pourrait permettre à des attaquants de potentiellement causer la divulgation de l'information, déni de service, ou éventuellement l'exécution de code en fournissant une expression régulière conçu.
L'attaquant fournit une paire d'un motif d'expression rationnelle et une chaîne, avec un codage multi-octets qui obtient traitée par onig_new_deluxe(). Oniguruma problèmes affectent souvent Ruby, ainsi que les bibliothèques optionnelles communes pour PHP et Rust, le lit consultatif.
Les vulnérabilités d'adresse de correctifs déjà disponibles dans cURL, fonction Exif, FastCGI Process Manager, OPcache. Il n'y a actuellement aucune information d'attaques actives contre ces défauts. Cependant, patcher immédiate est nécessaire, donc envisager la mise à jour à la dernière version de PHP version 7.3.9, 7.2.22, ou 7.1.32 Dès que possible. Il convient de noter que la version PHP 7.1.32 corrige la faille CVE-2019-13224.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: