Cyhoeddi Canlyniadau Archwiliad Diogelwch PHP Codebase

Cyhoeddodd Cronfa Gwella Technoleg Ffynhonnell Agored (OSTIF), a grëwyd i gryfhau diogelwch prosiectau ffynhonnell agored, fod archwiliad annibynnol o god craidd y prosiect PHP wedi'i gwblhau. Perfformiwyd y gwaith gan y cwmni Ffrengig QuarksLab, sydd wedi archwilio prosiectau o'r blaen. OpenVPN, VeraCrypt, ac OpenSSL. Nododd yr archwiliad 27 o faterion, 17 ohonynt yn gysylltiedig â diogelwch a 10 yn wybodaethol. Dosbarthwyd dau fater fel bregusrwydd peryglus, dosbarthwyd chwech fel rhai cymharol beryglus, a ystyriwyd naw yn ddiberygl.

Ymhlith y gwendidau a nodwyd:

  • Mae CVE-2024-8928 yn wendid llygredd cof yn y trinwr hidlydd.
  • Mae CVE-2024-8929 yn wendid yn y gyrrwr MySQL sy'n arwain at ollyngiad cof oherwydd darlleniad y tu allan i'r terfynau. Cysylltu â system a reolir gan ymosodwr gweinydd Gall MySQL ollwng gwybodaeth am gynnwys ymholiadau SQL eraill.
  • Mae problem yn PHP-FPM yn caniatáu ymosodiad DoS trwy greu llwyth CPU gormodol.
  • Tri problem gymharol ddifrifol yn fframwaith OpenSSL yn ymwneud ag aliniad allweddi, trosysgrifennu fector cychwyn, a gwirio paramedr DH ar goll. Hefyd pedwar problem ddiniwed yn fframwaith OpenSSL.
  • Gorlif cyfanrif wrth ddadansoddi php.ini.
  • Mae CVE-2024-9026 yn wendid yn PHP-FPM sy'n caniatáu i nodau gael eu tynnu o negeseuon log.
  • CVE-2024-8925 – Mae problem dadansoddi ffurflen aml-ran yn bodoli a allai arwain at drin data anghywir.

Ffynhonnell: opennet.ru

Prynu gwesteio dibynadwy ar gyfer gwefannau sydd â diogelwch DDoS, gweinyddwyr VPS VDS 🔥 Prynu cynnal gwefannau dibynadwy gyda diogelwch DDoS, gweinyddion VPS VDS | ProHoster