Indhold
Et sikkerhedshul i PHP-versionerne 4.2.0 og 4.2.1 kan sætte angribere i stand til at få adgang til serveren eller lægge serveren ned, fremgår det af en meddelelse fra PHP-gruppen.
Fejlen findes i den parser, som udtrækker de enkelte felter fra en formular sendt fra en webside, og hullet kan udnyttes af alle, som er i stand til at sende en specielt udformet forespørgsel til en webserver med PHP. Denne parser blev skrevet om fra bunden i de berørte versioner.
Fejlens rækkevidde afhænger af den underlæggende arkitektur. Under Intel x86-arkitektur vil et angreb af den beskrevne type medføre, at serveren går ned, men til gengæld er det tilsyneladende ikke muligt for angriberen at udføre vilkårlig kode under denne arkitektur.
Under Solaris er det måske muligt for angriberen at afvikle kode via et sådan angreb.
En fejlrettelse i form af en ny version 4.2.2 kan downloades fra PHP's hjemmeside, hvor en beskrivelse af fejlen også kan læses.
Fejlen blev opdaget af en udvikler fra firmaet Ematters, som også har en beskrivelse af fejlen.
