Фонд OSTIF (Open Source Technology Improvement Fund), созданный с целью усиления защищённости открытых проектов, объявил о завершении независимого аудита основной кодовой базы проекта PHP. Работа выполнена французской компанией QuarksLab, которая уже привлекалась для аудита проектов OpenVPN, VeraCrypt и OpenSSL. В ходе проверки выявлено 27 проблем, из которых 17 имеют отношение к безопасности, а 10 носят информационный характер. Двум проблемам присвоен статус опасных уязвимостей, шесть имеют средний уровень опасности, а девять признаны неопасными.
Onder de geïdentificeerde kwetsbaarheden:
- CVE-2024-8928 is een kwetsbaarheid in het geheugen van de filterhandler.
- CVE-2024-8929 is een kwetsbaarheid in het MySQL-stuurprogramma die leidt tot een geheugenlek als gevolg van een leesfout buiten de toegestane geheugenlimieten. Verbinding maken met een door een aanvaller gecontroleerde server kan hierdoor een geheugenlek veroorzaken. server MySQL kan informatie lekken over de inhoud van andere SQL-query's.
- Een probleem in PHP-FPM dat het uitvoeren van een DoS-aanval mogelijk maakt door de CPU te zwaar te belasten.
- Drie problemen van gemiddelde ernst in de OpenSSL-wrapper, gerelateerd aan sleuteluitlijning, IV-overschrijving en ontbrekende DH-parametercontrole. Plus 4 niet-gevaarlijke problemen in de OpenSSL-wrapper.
- Integeroverloop tijdens het parseren van php.ini.
- CVE-2024-9026 - Een kwetsbaarheid in PHP-FPM waardoor tekens uit berichten in het logboek kunnen worden verwijderd.
- CVE-2024-8925 - Een probleem met het parsen van multipart-formulieren leidt tot onjuiste gegevensverwerking.
Bron: opennet.ru
