Il problema, che non riguarderebbe gli ambienti basati su Apache e mod_php o su nginx e php-fpm, sarebbe dovuto essenzialmente al fatto che le richieste che non presentano un "=" all'interno della querystring vengono elaborate in modo differente dalle installazioni CGI based, per cui potrebbe capitare che una richiesta contenente i caratteri "?-s" causi l'accesso al sorgente della pagina.

Sono quindi da considerarsi potenzialmente vulnerabili i siti che sfruttano Apache con mod_cgi, una veloce verifica potrà  essere eseguita aggiungendo la stringa "?-s" alla fine dell'URL di una pagina PHP, il dump del sorgente testimonierà  la presenza del bug.

Un'alternativa all'upgrade potrebbe essere per esempio quella di utilizzare il modulo per la riscrittura di Apache per non consentire al Web server di accettare questa tipologia di richieste, cioè quelle inviate tramite querystring che iniziano con "-" e che non contengono "=".

Maggiori informazioni sono disponibili sul sito ufficiale di PHP.

5 CommentiDi' la tua

Il tuo indirizzo email non sarà mostrato pubblicamente. I campi obbligatori sono contrassegnati da *

se fosse una schifezza di linguaggio come mai tutti o cms sono in php e due dei maggiori siti frequantadi al modo sono in php com www.wikipedia.it e www.facebook.com sono in php? Se tutte le schifezze sono come php magari ne facessero più spesso di schifezze come il php. Non é il linguaggio a fare schifo ma chi no sa programmare con un certo rigore a fare applicativi pieni di bug

Carretta Giuseppe
Carretta Giuseppe

Ma state ancora a disquisire con questo Php? Lo volete capire che l'unica soluzione per risolvere definitivamente i bug in Php é toglierlo definitivamente da mezzo (il linguaggio intero)? Studiate linguaggi seri e non quella schifezza dio Php. Linguaggio peggiore di Php non può esserci!!

Antonio
Antonio

@guly Ammesso che lo risolvano definitivamente... Grazie per la segnalazione.

Claudio Garau
Claudio Garau

5.3.13 e 5.4.3 sono le release col fix

guly
guly

negativo, 5.3.12 e 5.4.2 NON sistemano il problema: http://www.php-security.net/archives/11-Mitigation-for-CVE-2012-1823-CVE-2012-2311.html

guly
guly