Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 27/7/2016
Sikkerhedsforskere har opdaget to alvorlige sikkerhedshuller i PHP. De blev lukket med opdateringer i juni måned.Sikkerhedsforskerne Dario Weißer og Ruslan Habalov opdagede sårbarhederne under et forsøg på at knække sikkerheden i webstedet PornHub. Det lykkedes for dem, og de modtog en dusør på 20.000 dollars fra webstedet.
De udnyttede de to sårbarheder sammen med en usikker anvendelse af unserialize-funktionen til at få fuld kontrol med webstedet.
Sårbarhederne, der ligger i PHP's garbage collection, er rettet i PHP 5.6.23 og PHP 7.0.8. De rettede versioner blev udsendt den 21. juni.
Anbefaling
Opdater PHP. Undgå at bruge unserialize på data, som brugeren har kontrol over.