在
PHP(一种网页编程语言)中存在严重的安全
漏洞,攻击者可以借此渗透运行
PHP的服务器,已有两个相关的安全补丁发布了。
软件开发社区
PHP组织本周发布了
PHP 4.3.10和5.0.3以修补该页面处理程序中存在的安全
漏洞 该组织在其网站上发布通告说:"所有
PHP的用户都应该立刻升级到新发布的版本。"
颇有争议的最大
漏洞出在用于文件存储的数据压缩处理函数上。据发现这个
漏洞的Hardened-
PHP组织介绍,攻击者一旦发现这个
漏洞,就可以控制运行了有问题的
PHP版本的Web服务器。(
PHP是Hypertext Preprocessing,即超文本预处理的缩写)
PHP的原意是个人网页(Personal Home Page),由它所构成的服务器端脚本语言可以嵌入到网页中,动态产生网页内容,它是以命令的方式执行操作的。许多网页日记程序及内容管理应用都是用
PHP写成的。
这个语言也可用于网站内容控制,伴随着网站浏览者的点击,它与数据库之间实现互动并创建网页。一般而言,只要当浏览者请求时,网页中所包含的
PHP代码才会被执行。
代码执行后所显示的网页内容,一般都来自数据库中所存储的文章、图像及个人设置。
作为一种编程语言,
PHP可以灵活地完成多种任务。Web服务器可以运行
PHP处理程序来解释任何包含该种语言的网页。
据Hardened-
PHP组织在其网站的通告中透露,除这个严重的安全
漏洞之外,该组织还发现了其它6个
PHP中的
漏洞。该组织也开发更为安全的自主版本的
PHP,在它所发布的完整补丁程序中,除修复了
PHP中的这个主要安全
漏洞以外,同时也为
PHP添加了其它安全特性。
PHP组织修补这个安全
漏洞及更正了其它一些
PHP中的小错误,并在其网站作了发布。
