Cyhoeddodd Cronfa Gwella Technoleg Ffynhonnell Agored (OSTIF), a grëwyd i gryfhau diogelwch prosiectau ffynhonnell agored, fod archwiliad annibynnol o god craidd y prosiect PHP wedi'i gwblhau. Perfformiwyd y gwaith gan y cwmni Ffrengig QuarksLab, sydd wedi archwilio prosiectau o'r blaen. OpenVPN, VeraCrypt, ac OpenSSL. Nododd yr archwiliad 27 o faterion, 17 ohonynt yn gysylltiedig â diogelwch a 10 yn wybodaethol. Dosbarthwyd dau fater fel bregusrwydd peryglus, dosbarthwyd chwech fel rhai cymharol beryglus, a ystyriwyd naw yn ddiberygl.
Ymhlith y gwendidau a nodwyd:
- Mae CVE-2024-8928 yn wendid llygredd cof yn y trinwr hidlydd.
- Mae CVE-2024-8929 yn wendid yn y gyrrwr MySQL sy'n arwain at ollyngiad cof oherwydd darlleniad y tu allan i'r terfynau. Cysylltu â system a reolir gan ymosodwr gweinydd Gall MySQL ollwng gwybodaeth am gynnwys ymholiadau SQL eraill.
- Mae problem yn PHP-FPM yn caniatáu ymosodiad DoS trwy greu llwyth CPU gormodol.
- Tri problem gymharol ddifrifol yn fframwaith OpenSSL yn ymwneud ag aliniad allweddi, trosysgrifennu fector cychwyn, a gwirio paramedr DH ar goll. Hefyd pedwar problem ddiniwed yn fframwaith OpenSSL.
- Gorlif cyfanrif wrth ddadansoddi php.ini.
- Mae CVE-2024-9026 yn wendid yn PHP-FPM sy'n caniatáu i nodau gael eu tynnu o negeseuon log.
- CVE-2024-8925 – Mae problem dadansoddi ffurflen aml-ran yn bodoli a allai arwain at drin data anghywir.
Ffynhonnell: opennet.ru
