PHP : une faille critique enfin corrigée
Le projet PHP a publié mardi 8 mai une mise à jour du langage de script (PHP 5.4.3 et PHP 5.3.13 ). En ligne de mire, PHP Group corrige deux failles critiques permettant à un attaquant d'exécuter du code à distance dans les sites Web et systèmes.
L'une d'entre elles (CVE-2012-1823) est située dans le composant php-cgi, et permet à PHP d'être exécutée dans une configuration CGI. Découverte en janvier dernier par un groupe d'experts indépendant, cette faille permet aux requêtes HTTP contenant le caractère "-" d'être interprétées comme une ligne de commande, comme -s, -d,-c. L'attaquant pourrait, grâce à elle, accéder au code source d'une application PHP, et aux éventuels mots de passe utilisés, ou encore exécuter un code malveillant à distance. Facebook fait partie des sites qui ont été touchés. Mais, le réseau social a été très réactif pour trouver une parade.
Le problème devait être comblé par une mise à jour publiée le 3 mai (avec PHP 5.3.12 et PHP 5.4.2). Mais, le correctif en question s'est avéré inefficace, et "pouvait être contourné", selon les termes de l'expert PHP Stefan Esser. PHP Group l'a d'ailleurs reconnu. Le projet a donc annoncé cette nouvelle mise à jour. Une mise à niveau qui a aussi pour but de corriger une seconde faille. Egalement liée à la configuration CGI, elle concerne apache_request_header (et se limite donc à PHP 5.4).