在PHP(一种网页编程语言)中存在严重的安全漏洞,攻击者可以借此渗透运行PHP的服务器,已有两个相关的安全补丁发布了。
软件开发社区PHP组织本周发布了PHP 4.3.10和5.0.3以修补该页面处理程序中存在的安全漏洞
该组织在其网站上发布通告说:"所有PHP的用户都应该立刻升级到新发布的版本。"
颇有争议的最大漏洞出在用于文件存储的数据压缩处理函数上。据发现这个漏洞的Hardened-PHP组织介绍,攻击者一旦发现这个漏洞,就可以控制运行了有问题的PHP版本的Web服务器。(PHP是Hypertext Preprocessing,即超文本预处理的缩写)
PHP的原意是个人网页(Personal Home Page),由它所构成的服务器端脚本语言可以嵌入到网页中,动态产生网页内容,它是以命令的方式执行操作的。许多网页日记程序及内容管理应用都是用PHP写成的。
这个语言也可用于网站内容控制,伴随着网站浏览者的点击,它与数据库之间实现互动并创建网页。一般而言,只要当浏览者请求时,网页中所包含的PHP代码才会被执行。代码执行后所显示的网页内容,一般都来自数据库中所存储的文章、图像及个人设置。
作为一种编程语言,PHP可以灵活地完成多种任务。Web服务器可以运行PHP处理程序来解释任何包含该种语言的网页。
据Hardened-PHP组织在其网站的通告中透露,除这个严重的安全漏洞之外,该组织还发现了其它6个PHP中的漏洞。该组织也开发更为安全的自主版本的PHP,在它所发布的完整补丁程序中,除修复了PHP中的这个主要安全漏洞以外,同时也为PHP添加了其它安全特性。
PHP组织修补这个安全漏洞及更正了其它一些PHP中的小错误,并在其网站作了发布。