Библиотека Интернет Индустрии I2R.ru |
|||
|
В дыре PHP могут расплодиться черви11.03.2002 19:04 Создание эксплойта для обнаруженных недавно ошибок в языке сценариев PHP — лишь дело времени, предупреждают эксперты. Учитывая, что уязвимы миллионы веб-сайтов, он может стать новым Code Red. Лазейки находятся в модулях ПО веб-серверов, использующих язык сценариев Personal Homepage (PHP). Он позволяет создавать динамические веб-страницы и широко распространен среди сайтов, построенных на базе ПО с открытым исходным кодом. Дэвид Диттрих (David Dittrich), старший инженер по информационной безопасности Вашингтонского университета, уверяет, что, хотя технически воспользоваться этими лазейками нелегко, в интернете полно хакерских групп, способных на это. «Появление червя всего лишь дело времени», — заявил Диттрих, добавив, что системным администраторам, веб-сайты которых работают на уязвимых версиях PHP, следует как можно быстрее обновить ПО. На прошлой неделе член PHP Group опубликовал детали нескольких ошибок, которые позволяют атаковать веб-серверы с версиями PHP с 3.0.10 по 4.1.1. Получив контроль над сервером, атакующие могут вывести из строя любые работающие на нем сайты или исполнять на сервере системные команды. На следующий день британская группа Netcraft опубликовала свой ежемесячный статистический отчет по веб-сайтам, отметив, что почти 8,4 млн сайтов базируется на серверах с уязвимыми версиями PHP, причем миллион из этих сайтов беззащитен перед атаками. Судя по этим данным, ошибки PHP не менее опасны, чем ошибка фильтра ISAPI сервера индексации Microsoft Internet Information Server, которая позволила распространиться червю Code Red, считает главный специалист по защите сетей компании eEye Digital Security Марк Мэйфрет (Marc Maiffret). По данным Netcraft, в июне 2000 года, когда Microsoft сообщила об ошибке IIS, в интернете насчитывалось 6 млн уязвимых сайтов. Однако между сайтами и серверами нет взаимно-однозначного соответствия. eEye обнаружила ошибку и сообщила о ней Microsoft в апреле. По данным организации Cooperative Association for Internet Data Analysis, на 19 июля 2000 года модифицированной версией Code Red было заражено почти 360 тыс. серверов. Тогда червь почти насытил интернет, заразив практически каждый доступный из уязвимых серверов. По словам Мэйфрета, есть свидетельства того, что червь PHP уже готовится в интернет-подполье. В кругах специалистов и хакеров циркулировал так называемый эксплойт — инструмент, позволяющий атаковать уязвимые системы. Обычно такой код содержит функцию для генерации случайных интернет-адресов или автоматический сканер для выбора следующей жертвы. Однако в реальном эксплойте ее не было, на основании чего эксперты сделали вывод, что это часть незавершенной программы. «Теперь мы ждем, чем это кончится», — сказал Мэйфрет. Перед онлайновыми вандалами стоит непростая задача. Если ошибку сервера индексации ISAPI можно было использовать посредством несложной программы, то для создания червя PHP придется потрудиться значительно больше, считает менеджер проекта PHP Расмус Лердорф (Rasmus Lerdorf). Так как в разных версиях ПО природа ошибок различна, червь должен уметь определять конфигурацию каждого хоста и применять соответствующий метод атаки. К тому же веб-серверы обычно работают с ограниченными привилегиями доступа. На правильно защищенных серверах из-за упомянутых различий захватить управление зараженным компьютером будет гораздо сложнее. Это может оказаться на руку администраторам веб-сайтов, использующих PHP, считает Стивен Эссер (Stefan Esser), другой член PHP Group и автор рекомендаций по борьбе с ошибками в языках сценариев. «PHP — это проект с открытым исходным кодом, а если судить по моему опыту, пользователи open-source продуктов часто лучше осведомлены о проблемах безопасности, чем пользователи продуктов Microsoft, — заявил он. — Я уверен, что пользователи open-source быстрее обновят свое ПО. Наиболее важные сайты уже сделали это». И все же, чтобы предотвратить потенциальную угрозу для интернета, необходимо проапгрейдить не только крупные сайты. Роберт Лемос (Robert Lemos) последние новости 01.02.2013 15:18 | Интернет и малые предприятия...» 22.01.2013 13:30 | Провал с планшетом от Microsoft...» 27.11.2012 13:14 | Ключ к лучшему софту для вас!...» 22.11.2012 14:39 | Выбор домашнего компьютера...» 16.11.2012 15:17 | Старый знакомый - Dr. Web...» 04.04.2012 13:35 | Как играть в игровые автоматы и как они устроены...» 04.04.2012 13:08 | Интернет-вклады набирают популярность...» 21.03.2007 17:33 | Вышел 3-й номер Юзабилити Бюллетеня...» 16.03.2007 00:16 | Индивидуальное обучение поисковому продвижению...» 15.03.2007 19:16 | Анонс места проведения PHPCONF 2007...» 14.03.2007 17:21 | Спонсоры конференции PHPCONF 2007...» 14.03.2007 00:29 | Аккредитация журналистов на участие в конференции «РИТ-2007» началась ...» 07.03.2007 12:12 | ЦБ обяжет аудиторов раскрывать банковскую тайну ...» 04.03.2007 20:30 | «1С» и «Битрикс» создают совместную компанию «1С–Битрикс»...» 01.03.2007 18:42 | Adobe выпустит Creative Suite 3 в конце марта...» 01.03.2007 17:44 | Oracle намерена приобрести Hyperion Solutions за $3,3 млрд ...» 28.02.2007 17:15 | Google улучшает систему уведомлений веб-мастеров...» 28.02.2007 16:09 | Adobe выпустит средства для редактирования видео в интернете...» 27.02.2007 19:29 | Большие ИТ-компании обещают возможности Web 2.0...» 27.02.2007 16:35 | Page Promoter 7.5: глобальная платформа для анализа, продвижения и управления ресурсом...» |
|
2000-2008 г. Все авторские права соблюдены. |
|