在PHP(一種網頁編程語言)中存在嚴重的安全漏洞,攻擊者可以借此滲透運行PHP的服務器,已有兩個相關的安全補丁發布了。 軟件開發社區PHP組織本周發布了PHP 4.3.10和5.0.3以修補該頁面處理程序中存在的安全漏洞 該組織在其網站上發布通告說:"所有PHP的用戶都應該立刻升級到新發布的版本。" 頗有爭議的最大漏洞出在用於文件存儲的數據壓縮處理函數上。據發現這個漏洞的Hardened-PHP組織介紹,攻擊者一旦發現這個漏洞,就可以控制運行了有問題的PHP版本的Web服務器。(PHP是Hypertext Preprocessing,即超文本預處理的縮寫) PHP的原意是個人網頁(Personal Home Page),由它所構成的服務器端腳本語言可以嵌入到網頁中,動態產生網頁內容,它是以命令的方式執行操作的。許多網頁日記程序及內容管理應用都是用PHP寫成的。 這個語言也可用於網站內容控制,伴隨著網站浏覽者的點擊,它與數據庫之間實現互動並創建網頁。一般而言,只要當浏覽者請求時,網頁中所包含的PHP代碼才會被執行。代碼執行後所顯示的網頁內容,一般都來自數據庫中所存儲的文章、圖像及個人設置。 作為一種編程語言,PHP可以靈活地完成多種任務。Web服務器可以運行PHP處理程序來解釋任何包含該種語言的網頁。 據Hardened-PHP組織在其網站的通告中透露,除這個嚴重的安全漏洞之外,該組織還發現了其它6個PHP中的漏洞。該組織也開發更為安全的自主版本的PHP,在它所發布的完整補丁程序中,除修復了PHP中的這個主要安全漏洞以外,同時也為PHP添加了其它安全特性。 PHP組織修補這個安全漏洞及更正了其它一些PHP中的小錯誤,並在其網站作了發布。
