Библиотека Интернет Индустрии I2R.ru |
|||
|
В дыре PHP могут расплодиться черви11.03.2002 19:04 Создание эксплойта для обнаруженных недавно ошибок в языке сценариев PHP — лишь дело времени, предупреждают эксперты. Учитывая, что уязвимы миллионы веб-сайтов, он может стать новым Code Red. Лазейки находятся в модулях ПО веб-серверов, использующих язык сценариев Personal Homepage (PHP). Он позволяет создавать динамические веб-страницы и широко распространен среди сайтов, построенных на базе ПО с открытым исходным кодом. Дэвид Диттрих (David Dittrich), старший инженер по информационной безопасности Вашингтонского университета, уверяет, что, хотя технически воспользоваться этими лазейками нелегко, в интернете полно хакерских групп, способных на это. «Появление червя всего лишь дело времени», — заявил Диттрих, добавив, что системным администраторам, веб-сайты которых работают на уязвимых версиях PHP, следует как можно быстрее обновить ПО. На прошлой неделе член PHP Group опубликовал детали нескольких ошибок, которые позволяют атаковать веб-серверы с версиями PHP с 3.0.10 по 4.1.1. Получив контроль над сервером, атакующие могут вывести из строя любые работающие на нем сайты или исполнять на сервере системные команды. На следующий день британская группа Netcraft опубликовала свой ежемесячный статистический отчет по веб-сайтам, отметив, что почти 8,4 млн сайтов базируется на серверах с уязвимыми версиями PHP, причем миллион из этих сайтов беззащитен перед атаками. Судя по этим данным, ошибки PHP не менее опасны, чем ошибка фильтра ISAPI сервера индексации Microsoft Internet Information Server, которая позволила распространиться червю Code Red, считает главный специалист по защите сетей компании eEye Digital Security Марк Мэйфрет (Marc Maiffret). По данным Netcraft, в июне 2000 года, когда Microsoft сообщила об ошибке IIS, в интернете насчитывалось 6 млн уязвимых сайтов. Однако между сайтами и серверами нет взаимно-однозначного соответствия. eEye обнаружила ошибку и сообщила о ней Microsoft в апреле. По данным организации Cooperative Association for Internet Data Analysis, на 19 июля 2000 года модифицированной версией Code Red было заражено почти 360 тыс. серверов. Тогда червь почти насытил интернет, заразив практически каждый доступный из уязвимых серверов. По словам Мэйфрета, есть свидетельства того, что червь PHP уже готовится в интернет-подполье. В кругах специалистов и хакеров циркулировал так называемый эксплойт — инструмент, позволяющий атаковать уязвимые системы. Обычно такой код содержит функцию для генерации случайных интернет-адресов или автоматический сканер для выбора следующей жертвы. Однако в реальном эксплойте ее не было, на основании чего эксперты сделали вывод, что это часть незавершенной программы. «Теперь мы ждем, чем это кончится», — сказал Мэйфрет. Перед онлайновыми вандалами стоит непростая задача. Если ошибку сервера индексации ISAPI можно было использовать посредством несложной программы, то для создания червя PHP придется потрудиться значительно больше, считает менеджер проекта PHP Расмус Лердорф (Rasmus Lerdorf). Так как в разных версиях ПО природа ошибок различна, червь должен уметь определять конфигурацию каждого хоста и применять соответствующий метод атаки. К тому же веб-серверы обычно работают с ограниченными привилегиями доступа. На правильно защищенных серверах из-за упомянутых различий захватить управление зараженным компьютером будет гораздо сложнее. Это может оказаться на руку администраторам веб-сайтов, использующих PHP, считает Стивен Эссер (Stefan Esser), другой член PHP Group и автор рекомендаций по борьбе с ошибками в языках сценариев. «PHP — это проект с открытым исходным кодом, а если судить по моему опыту, пользователи open-source продуктов часто лучше осведомлены о проблемах безопасности, чем пользователи продуктов Microsoft, — заявил он. — Я уверен, что пользователи open-source быстрее обновят свое ПО. Наиболее важные сайты уже сделали это». И все же, чтобы предотвратить потенциальную угрозу для интернета, необходимо проапгрейдить не только крупные сайты. Роберт Лемос (Robert Lemos) последние новости 02.02.2007 20:40 | Adobe Labs Flash Media Encoder - трансляция видеоматериалов в режиме реального времени...» 02.02.2007 14:40 | Девять советов для предпринимателей в Веб 2.0...» 30.01.2007 17:01 | Code Contest - конкурсное программирование...» 29.01.2007 19:25 | РА "Артон" проводит практический семинар "Эффективная реклама в Интернете"...» 25.01.2007 18:58 | Adobe передает PDF в организацию по стандартизации...» 25.01.2007 16:35 | Сисадмины и юзеры вновь стали героями сборника курьезных историй...» 23.01.2007 20:04 | IBM впрыскивает в Lotus дозу Web 2.0...» 23.01.2007 19:47 | Сайт Софт@Mail.Ru предоставил рейтинг самых популярных программ 2006 года...» 23.01.2007 17:18 | 16 февраля - бесплатный семинар по анализу, продвижению и управлению ресурсом...» 22.01.2007 20:29 | Пользователи недовольны платежной системой Google Checkout...» 22.01.2007 19:31 | Firefox «ворует» идеи у Opera, Opera «ворует» идеи у Firefox...» 21.01.2007 15:46 | Первая конференция веб-разработчиков состоится в апреле...» 19.01.2007 19:27 | «Яндекс» оживил слоган шестилетней давности. У «Яндекса» лучший слоган 2006 года?...» 18.01.2007 16:15 | Adobe выпустила Flash Player 9 для Linux...» 17.01.2007 13:17 | Web 2.0 и тэговый спам...» 15.01.2007 15:34 | Corel поддержит и ODF, и Open XML...» 11.01.2007 17:22 | Контекстная реклама в AdWords становится слишком дорогой...» 10.01.2007 15:34 | Semonitor 3.5 расширяет возможности...» 05.01.2007 20:45 | Web 2.0 и тэговый спам...» 02.01.2007 17:20 | Оптимизация блога: аккуратный метод...» |
|
2000-2008 г. Все авторские права соблюдены. |
|