据一个开放源代码软件开发组与本周一宣布,在较新版本的PHP(一种新型的CGI网络程序编写语言)脚本语言中发现存在一处安全漏洞,这一漏洞能够使黑客通过互联网攻击用户的计算机,或对用户的计算进行控制。
这一安全漏洞影响的版本有PHP的4.2.0和4.2.1版。而且这一安全漏洞对不同架构的计算机有不同的危胁方式:它能够使配置英特尔IA-32架构芯片的互联网服务器崩溃,而对于那些诸如包括Sun微系统公司的Solaris在内的其它系统,则会使黑客控制用户的计算机。
这一安全漏洞的出现与PHP语言处理为从互联网网页上的用户表格中获得的数据分配的内存的方式有关。这种数据以HTTP(万维网服务程序所用的协议)命令命名为POST数据,能够被黑客组织成特殊的格式对互联网服务器构成安全威胁。
据发现这一安全漏洞的PHP组织成员埃舍尔表示:“如果你正在运行的是PHP 4.2.x,你就应当尽可能快地进行升级。如果是由于某中特定原因不能进行升级的话,那么,只有一个方法:就是禁止服务器所有类型的POST请求。”
这是今年发现的影响PHP安全的重大安全漏洞中的第二个发现。在今年2月份,发现了一个影响更多版本PHP语言的安全漏洞,该安全漏洞危害用户的方式更多。
PHP组织已经发布了一个新版PHP 4.2.2,补上了这一安全漏洞。
