Komoly XML-RPC hibák számos PHP alkalmazásban
Délután küldte be Török Gábor szerkesztőtársunk azt a blogmarkot, mely jelzi, hogy az XML-RPC for PHP 1.1 sebezhetősége miatt több PHP alkalmazás is sérülékeny. Ezek között van a Drupal, a PostNuke, a Xoops, a Serendipity, a TikiWiki, a WordPress, és még számos közismert alkalmazás, többek között a PEAR XML-RPC-re épülő megoldások is. Az eredetileg Edd Dumbill által a Useful Information Company számára fejlesztett XML-RPC függvényeket, illetve azok módosításait ugyanis igen széles körben használják.
Első lépésként érdemes az általunk használt PHP alkalmazásokban ellenőrizni az XML-RPC támogatást, és kikapcsolni, amennyiben jelét tapasztaljuk, hogy erre a függvénykészletre épülne. Ezután pedig érdemes ellenőrizni, hogy elérhető-e valamilyen jobb megoldás.
Néhány szállító már kiadott javításokat, így megjelent a WordPress új kiadása, a Serendipity új verziója, míg a PostNuke fejlesztők egyelőre csak annyit ajánlanak, hogy kapcsoljuk ki a funkciót. A Drupal fejlesztői ezen hír írása közben készítik elő a biztonsági frissítésről szóló bejelentést.
■ Első lépésként érdemes az általunk használt PHP alkalmazásokban ellenőrizni az XML-RPC támogatást, és kikapcsolni, amennyiben jelét tapasztaljuk, hogy erre a függvénykészletre épülne. Ezután pedig érdemes ellenőrizni, hogy elérhető-e valamilyen jobb megoldás.
Néhány szállító már kiadott javításokat, így megjelent a WordPress új kiadása, a Serendipity új verziója, míg a PostNuke fejlesztők egyelőre csak annyit ajánlanak, hogy kapcsoljuk ki a funkciót. A Drupal fejlesztői ezen hír írása közben készítik elő a biztonsági frissítésről szóló bejelentést.
PEAR::XML_RPC
pear upgrade XML_RPC
parancs használata parancssorból.Drupal javítás elérhető
Hardened PHP
WordPress SQL Injection and Cross Site Scripting Vulnerabilities
http://www.frsirt.com/english/advisories/2005/0925
--
slink
http://20y.hu/
Xoops SQL Injection and Cross Site Scripting Vulnerabilities
http://www.frsirt.com/english/advisories/2005/0924
--
slink
http://20y.hu/
phpAdsNew 2.0.5
--
slink
http://20y.hu/