Falha em linguagem PHP afeta serviços web

[Douglas 6]

Falha em linguagem PHP afeta serviços web

Segunda-feira, 22 agosto de 2005 - 16:51

IDG Now!

 

Foi descoberta na sexta-feira (19/08) uma falha de alto risco no protocolo PHP de serviços web, permitindo que um atacante tomasse controle total sobre servidores vulneráveis.

 

A falha foi encontrada nas bibliotecas XML-RPC para PHP e PEAR XML_RPC, em uma auditoria conduzida pelo projeto Hardened-PHP.

 

O grupo afirma que a brecha pode ser explorada da mesma forma que outras vulnerabilidades anteriormente reveladas, particularmente com as instruções eval() .

 

"Para se livrar dessa e de outras falhas envolvendo o eval(), o projeto Hardened-PHP e os mantenedores dessas bibliotecas desenvolveram uma correção que elimina completamente o uso da instrução", comunicou o Hardened-PHP em um alerta em sua página.

 

RPCs (Remote Procedure Call) baseados em linguagem XML, como o XML-RPC, são utilizados em conjunto com o protocolo HTTP para reforçar serviços web. Tanto o XML-RPC para PHP (também chamado de PHPXMLRPC) e o PEAR XML_RPC implementam o XML-RPC para a linguagem PHP.

 

A falha afeta diversas aplicações web, como blogs, páginas wiki (nas quais o internauta pode editar o conteúdo) e outros gerenciadores de conteúdo baseados na linguagem PHP. As bibliotecas PHPXMLRPC e PEAR XML_RPC são utilizadas nas aplicações PostNuke, Drupal, b2evolution e TikiWiki.

 

Para resolver o problema, basta atualizar a biblioteca PEAR XML_RPC para a versão 1.4.0 (clique aqui para baixar) ou para a versão 1.2 da PHPXMLRPC (clique aqui).

 

Matthew Broersma ? Techworld, Reino Unido

[Mário Monteiro 179]

boa noticia tio doug