據一個開放源代碼軟件開發組與本周一宣布,在較新版本的PHP(一種新型的CGI網絡程序編寫語言)腳本語言中發現存在一處安全漏洞,這一漏洞能夠使黑客通過互聯網攻擊用戶的計算機,或對用戶的計算進行控制。 這一安全漏洞影響的版本有PHP的4.2.0和4.2.1版。而且這一安全漏洞對不同架構的計算機有不同的危脅方式:它能夠使配置英特爾IA-32架構芯片的互聯網服務器崩潰,而對於那些諸如包括Sun微系統公司的Solaris在內的其它系統,則會使黑客控制用戶的計算機。 這一安全漏洞的出現與PHP語言處理為從互聯網網頁上的用戶表格中獲得的數據分配的內存的方式有關。這種數據以HTTP(萬維網服務程序所用的協議)命令命名為POST數據,能夠被黑客組織成特殊的格式對互聯網服務器構成安全威脅。 據發現這一安全漏洞的PHP組織成員埃捨爾表示:“如果你正在運行的是PHP 4.2.x,你就應當盡可能快地進行升級。如果是由於某中特定原因不能進行升級的話,那麼,只有一個方法:就是禁止服務器所有類型的POST請求。” 這是今年發現的影響PHP安全的重大安全漏洞中的第二個發現。在今年2月份,發現了一個影響更多版本PHP語言的安全漏洞,該安全漏洞危害用戶的方式更多。 PHP組織已經發布了一個新版PHP 4.2.2,補上了這一安全漏洞。
