Badacze bezpieczeństwa z firmy Check Point odkryli 3 poważne podatności w PHP 7 zagrażające nawet 80% wszystkich stron WWW. PHP 7 to najnowsza wersja popularnego języka programowania WWW, która napędza znaczną część stron internetowych na świecie. W porównaniu do PHP 5, oferuje znaczne korzyści dla właścicieli witryn i programistów: dużo większą wydajność oraz nowe funkcje.
Trzy podatności CVE-2016-7479, CVE-2016-7480 i CVE-2016-7478 dotyczą mechanizmu deserializacji. Jest to ten sam mechanizm, który pozwolił hakerom włamywać się do popularnych platform: Magento, vBulletin, Drupal, Joomla i WordPress wykorzystujących PHP w wersji piątej.
Pierwsze dwie podatności umożliwiają przestępcom przejęcie pełnej kontroli na serwerem docelowym – właściwie pozwoli im to zrobić ze stroną WWW wszystko, co sobie tylko wymyślą: rozprzestrzeniać szkodliwe oprogramowanie czy kraść dane klientów. Ostatnia podatność może być wykorzystana do ataków DoS.
Co należy zrobić?
Jeśli wasze strony internetowe postawione są na zwykłym hostingu bez dostępu do root, możecie tylko naciskać na pomoc techniczną, aby zaktualizowali PHP do wersji 7.1.0 z 1 grudnia 2016 roku lub nowszej. Niektórzy dostawcy usług hostingowych mogą udostępniać swoim klientom indywidualny wybór wersji PHP w internetowym panelu klienta. Warto za taką opcją się rozejrzeć – najprawdopodobniej znajduje się ona w ustawieniach serwera.
Jeśli wasze strony są zlokalizowane na serwerze VPS lub serwerze dedykowanym, to macie zdanie ułatwione. Wystarczy manualnie zaktualizować PHP do nowszej wersji. Wcześniej zróbcie backup lub snapshoot.
Zabierają się za łatanie PHP warto przy okazji zaktualizować stare wtyczki oraz rdzenie w popularnych systemach CMS.
