Aktualizujcie swoje serwery WWW: PHP w wersji 7.* z trzema poważnymi lukami

30 grudnia, 2016

Badacze bezpieczeństwa z firmy Check Point odkryli 3 poważne podatności w PHP 7 zagrażające nawet 80% wszystkich stron WWW. PHP 7 to najnowsza wersja popularnego języka programowania WWW, która napędza znaczną część stron internetowych na świecie. W porównaniu do PHP 5, oferuje znaczne korzyści dla właścicieli witryn i programistów: dużo większą wydajność oraz nowe funkcje.

Trzy podatności CVE-2016-7479, CVE-2016-7480 i CVE-2016-7478 dotyczą mechanizmu deserializacji. Jest to ten sam mechanizm, który pozwolił hakerom włamywać się do popularnych platform: Magento, vBulletin, Drupal, Joomla i WordPress wykorzystujących PHP w wersji piątej.

Pierwsze dwie podatności umożliwiają przestępcom przejęcie pełnej kontroli na serwerem docelowym – właściwie pozwoli im to zrobić ze stroną WWW wszystko, co sobie tylko wymyślą: rozprzestrzeniać szkodliwe oprogramowanie czy kraść dane klientów. Ostatnia podatność może być wykorzystana do ataków DoS.

Co należy zrobić?

Jeśli wasze strony internetowe postawione są na zwykłym hostingu bez dostępu do root, możecie tylko naciskać na pomoc techniczną, aby zaktualizowali PHP do wersji 7.1.0 z 1 grudnia 2016 roku lub nowszej. Niektórzy dostawcy usług hostingowych mogą udostępniać swoim klientom indywidualny wybór wersji PHP w internetowym panelu klienta. Warto za taką opcją się rozejrzeć – najprawdopodobniej znajduje się ona w ustawieniach serwera.

Jeśli wasze strony są zlokalizowane na serwerze VPS lub serwerze dedykowanym, to macie zdanie ułatwione. Wystarczy manualnie zaktualizować PHP do nowszej wersji. Wcześniej zróbcie backup lub snapshoot.

Zabierają się za łatanie PHP warto przy okazji zaktualizować stare wtyczki oraz rdzenie w popularnych systemach CMS.

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
3 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]