A equipe de desenvolvimento do PHP fez outra tentativa para corrigir a vulnerabilidade crítica que afeta servidores rodando o PHP em modo CGI. O problema é que, no modo CGI, é possível chamar parâmetros do PHP direto pela URL.

Por exemplo, ao acessar o endereço http://localhost/index.php?-s, o servidor executaria o PHP com o parâmetro -s, que exibe o código-fonte do arquivo, e não o HTML gerado por ele. Só isso já seria problema suficiente (afinal, é comum inserir dados como senhas do banco de dados no código fonte), mas o time que descobriu a falha também percebeu que ela permite inserir código malicioso no arquivo e executá-lo.

Os detalhes da vulnerabilidade foram revelados publicamente por engano. Originalmente, o problema teria sido corrigido nas versões 5.3.12 e 5.4.2 do PHP, que foram liberadas na semana passada. Mas logo foi descoberto que as atualizações forneciam uma solução incompleta e outras maneiras de explorar a falha apareceram.

Agora, os desenvolvedores liberaram as versões 5.3.13 e 5.4.3, que, segundo eles, corrige o problema. Os primeiros testes realizados pelo especialista em PHP Christopher Kunz indicam que a solução deu certo desta vez.

Além disso, um buffer overflow na função apache_request_headers também foi corrigido no branch 5.4.

Com informações de The H