3月
6
2007
分類:
最近更新:
2007-03-06
PHP 臭蟲月開跑,快去查看自己的 PHP 程式是否有漏洞
由 PHP 資安團隊 Hardened-PHP Project 支持的 month of PHP Bugs 開始了,不到一週已經公布了十筆以上的 PHP 安全漏洞。 PHP 的使用者快去查看自己的 PHP 程式是有否漏洞。
我大略看了一下,去掉那些罕用功能之漏洞,到目前為止有不少一般性的安全漏洞集中在 PHP4 。想想目前多數虛擬主機供應商仍只提供 PHP4 服務,真要為其中運作的 PHP 網站系統之安全性捏一把冷汗。
有兩個結構性的 crash bug: PHP Executor Deep Recursion Stack Overflow、PHP Variable Destructor Deep Recursion Stack Overflow。前者是遞迴深度、後者是巢狀陣列深度,這兩個安全漏洞與函數調用層數過深導致堆疊溢位有關。這是 PHP 解譯器的結構性問題 (其實每種程式語言都會有這類問題與相應限制) ,照 month of PHP Bugs 中透露的消息來看,短時間內 PHP 開發團隊還不會做出相關修正。
樂多舊網址: http://blog.roodo.com/rocksaying/archives/2810789.html