最近有项调查指出最新发现的程序语言
漏洞可能会让上百万网站门户大开,安全专家预期专门针对此一
漏洞的病虫随时会出现。
此一
漏洞主要是会出现于使用
PHP语言的网站服务器模块中,此一程序语言多数用于使用公开程序代码软件的网站,且可让网站迅速完成网页设计。
华盛顿大学资深安全工程师David Dittrich表示,虽然此
漏洞的技术层次较高,不容易藉此制造出病虫,但若有心人士要加以利用也非难事。
上周一位
PHP爱好者公布了如何侵入使用
PHP软件3.0.10版至4.1.1版网站服务器的
漏洞细节。入侵者若能侵入网站服务器软件,即能篡改网页或执行系统指令。英国网络研究团体Netcraft估计目前网络上约有840万个网站服务器使用有
漏洞的
PHP版本。而其中最容易遭侵入的则有一百万个网站。
若以此数字估算,
PHP漏洞可能产生的危害可能不下于微软IIS
漏洞所引发的红色警戒病虫(Code Red),eEye Digital Security首席破解Marc Maiffret如此表示。
他同时指出这类病虫已经有开始蠢蠢欲动的征兆。目前安全专家与一些黑客都有收到一支程序即是利用此
漏洞瘫痪网站。
不过一位
PHP计划成员Rasmus Lerdorf表示
PHP病虫要入侵其实还没那么容易。由于不同版本之间可能承受的损害不一,病毒若要入侵还得先侦测出每一台主机的组成设定,然后才能找出有问题的程序代码。
另外,网站服务器通常被赋予的权限极少,不是管理者所用的“super user”模式,因此即使病虫入侵要作怪也不容易。
PHP团体的另一成员Stefan Esser表示这对使用
PHP的网站管理员可能较为有利。“
PHP是一种开放原始码计划,根据我的经验,使用开放原始码的用户通常会比微软产品用户来得更有安全观念。我相信开放原始码用户更新速度会比微软使用者更快,多数重要网站目前多已完成更新了。”
PHP 软件原来全名为Personal Homepage,后来则逐渐演变成为一种较复杂的语言,其最有名的是LAMP开放原始码软件,可让开发人员轻松架设网站,其软件包括
Linux操作系统、Apache网站服务器、MySQL数据库、
PHP或Python程序语言。
此次被公开的
漏洞主要会影响执行
Linux或Solaris操作系统的网站,但其中有个
漏洞也会影响使用
PHP模块3.0.10-3.0.18版本的微软的操作系统。