PHP

 به گزارش سایت اینترنت نیوز، در نسخه‌ جدید PHP، اشکالات نرم‌افزاری حل شده و در مورد PHP 5.1.2 چند قابلیت جدید نیز افزوده شده است. به کاربران نسخه‌های چهار و پنج PHP توصیه شده است که برای حفظ خود در مقابل چند مشکل امنیتی، آخرین نسخه‌های PHP را دریافت کنند.

علاقه‌مندان می‌توانند برای دریافت وصله‌های جدید PHP به این نشانی مراجعه کنند.

در PHP 5.1.2 یک نقطه ضعف امنیتی که در طبقه «حیاتی» قرار می‌گیرد برطرف شده است. این نقطه ضعف که
 PHP ext/session HTTP Response Splitting Vulnerability نام گرفته است، می‌تواند راه را برای انجام حملات XSS (یا Cross Site Scripting) باز کند.

نقطه ضعف دوم در PHP 5 تحت عنوان PHP ext/mysqli Format String Vulnerability شناخته شده و از سوی پروژه Hardened PHP در طبقه «کم خطر» قرار گرفته است. در صورت سوءاستفاده از این نقطه ضعف، امکان اجرای کدِ authorize نشده از راه دور فراهم می‌شود.

طبق اعلام تیم توسعه PHP، در نسخه PHP 5.1.2 بیش از 80 ایراد نرم‌افزاری برطرف شده که از جمله می‌توان به انواع crash کردن‌ها و خراب شدن حافظه اشاره کرد. در نسخه PHP 4.4.2  نیز 30 اشکال نرم‌افزاری رفع شده که یکی از آنها می‌تواند خطای XSS را به وجود بیاورد.

به گفته Stefan Esser ، بنیانگذار پروژه Hardened-PHP، نسخه 4.4.2 دارای یک سیستم حفاظتی توکار در برابر HTTP Response Splitting است که همان چیزی است اکنون PHP 5.1.2 دارد. به ادعای او «این طبقه از اشکالات امنیتی در برنامه‌های PHP، دیگر در نسخه‌های آینده PHP قابل سوءاستفاده نخواهد بود».

اکتبر سال گذشته استفان اسر چند مورد از نقاط ضعف PHP 5.x و PHP 4.x را گزارش کرد. در این مورد خاص، PHP 4 چند هفته زودتر از PHP 5 اصلاح شد. اما در مورد نقطه ضعف جاری، اصلاحیه هر دو PHP تقریباً همزمان ساخته شد.

در کنار اصلاح PHP 5 و PHP 4 کار روی نسخه ششم نیز صورت می‌گیرد. به گفته اسر PHP 6.x از مرحله بتا فراتر رفته است و بیشتر کد آن (از جمله امکانات یونی‌کد) با PHP 5.1 یکسان است.
مدیر پروژه Hardened-PHP افزود: از آنجا که ما زمان بسیار محدودی داریم، فقط نسخه‌هایی را با دقت بررسی می‌کنیم که به لحظه انتشارشان نزدیک شده یا قبلاً منتشر شده باشند.

به گفته وی فاصله زمانی بین کشف نقطه آسیب‌پذیر تا انتشار اصلاحیه آن قابل قبول بوده است.