PHP biedt excuses aan, plus nieuwe patch

door

php

door

Nieuws - Het PHP-team komt dagen na het uitbrengen van de brakke spoedpatch voor het kritieke 0-day gat alsnog met excuses en belooft beterschap. Vandaag volgt een nieuwe beveiligingsupdate.

Afgelopen donderdag was direct duidelijk dat de spoedpatch van het PHP-team voor het aanzienlijke 0-day gat geen oplossing bood. Drie dagen later geeft PHP die fout alsnog toe op zijn website en biedt het excuses aan voor “het veroorzaakte ongemak en de gebrekkige communicatie."

Vorige week woensdag lekte een intern bugrapport uit waardoor een aanzienlijk 0-day gat bekend werd. Met het gat is malafide code op afstand uit te voeren op servers. Het PHP-team was al sinds januari op de hoogte van het 0-day gat en werkte aan een oplossing. Die kwam in stroomversnelling doordat de gevoelige informatie op straat kwam te liggen.

Noodpatch blijkt brak

Het beveiligingsteam van PHP kwam binnen twee dagen met een spoedpatch. Aan de kwaliteit van de patch werd direct openlijk getwijfeld. Oud-medewerker van PHP Stefan Esser meldde al snel via Twitter dat de patch helemaal geen oplossing bood voor de ontstane probleem. De oorspronkelijke ontdekkers van het lek, Eindbazen.net, bevestigden dat nog diezelfde dag.

Zij kwamen met een eigen oplossing, die moet voorkomen dat aanvallers op afstand, zonder authenticatie, niet alleen code kunnen uitvoeren, maar ook denial-of-service (DoS) kunnen veroorzaken en daarmee mogelijk hele servers die PHP draaien, platleggen. Het PHP-team belooft deze dinsdag met een nieuwe set patches te komen. Deze oplossingen moeten de huidige CGI-fouten de kop indrukken.

Aanbevolen artikelen

eerst ▾ Reacties

De reacties worden ingeladen...

Insider naam

 
{$quantity}%

Mijn insider overzicht Uitloggen

Briefcase({$quantity}) Mijn Downloads({$quantity})

Word insider

  • Exclusieve content
  • Achtergrond verhalen
  • Praktische tips

Topbedrijven met ICT vacatures

Consumerization Event: Early Bird Actie
 
dagen
:
 
uren
:
 
minuten
:
 
seconden

Webwereld nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox.