Non capita tutti i giorni che una patch, destinata a correggere una vulnerabilità , introduca a sua volta un bug di sicurezza potenzialmente peggiore di quello corretto. àˆ successo con PHP 5.3.9 che includeva una patch correttiva della vulnerabilità CVE-2011-4885 per prevenire un DoS dovuto alle hash collisions. Sfruttando quest'ultimo bug un utente remoto era in grado, inviando richieste in POST, di causare un denial o service.
Purtroppo, come detto, la correzione di sicurezza applicata in PHP 5.3.9 ha introdotto una nuova vulnerabilità , scoperta da Stefan Esser, il creatore di Suhosin oltre che uno dei più noti hacker sulla scena iPhone/iOS. La vulnerabilità questa volta è addirittura peggiore di un "semplice" DoS e permette a un utente remoto di inviare dati appositamente forgiati che consentono, sfruttando un errore in memoria, di eseguire codice arbitrario sulla macchina vittima.
Il bug è stato prontamente corretto con il rilascio di PHP 5.3.10, inutile dire che chi gestisce autonomamente i propri server dovrà aggiornare prima possibile, chi invece ha i propri siti in hosting dovrà sperare che l'aggiornamento sia tempestivo.
/https://www.html.it/app/uploads/2024/11/hacker-cinesi-vpn.jpg)
/https://www.html.it/app/uploads/2024/11/truffe-qr-code-.jpg)
/https://www.html.it/app/uploads/2024/11/IPTV_______.jpg)
/https://www.html.it/app/uploads/2024/11/t-mobile-.jpg)