Weblabor

Délután küldte be Török Gábor szerkesztőtársunk azt a blogmarkot, mely jelzi, hogy az XML-RPC for PHP 1.1 sebezhetősége miatt több PHP alkalmazás is sérülékeny. Ezek között van a Drupal, a PostNuke, a Xoops, a Serendipity, a TikiWiki, a WordPress, és még számos közismert alkalmazás, többek között a PEAR XML-RPC-re épülő megoldások is. Az eredetileg Edd Dumbill által a Useful Information Company számára fejlesztett XML-RPC függvényeket, illetve azok módosításait ugyanis igen széles körben használják.

Első lépésként érdemes az általunk használt PHP alkalmazásokban ellenőrizni az XML-RPC támogatást, és kikapcsolni, amennyiben jelét tapasztaljuk, hogy erre a függvénykészletre épülne. Ezután pedig érdemes ellenőrizni, hogy elérhető-e valamilyen jobb megoldás.

Néhány szállító már kiadott javításokat, így megjelent a WordPress új kiadása, a Serendipity új verziója, míg a PostNuke fejlesztők egyelőre csak annyit ajánlanak, hogy kapcsoljuk ki a funkciót. A Drupal fejlesztői ezen hír írása közben készítik elő a biztonsági frissítésről szóló bejelentést.