Beberapa kelemahan eksekusi kode ditemukan dalam bahasa pemrograman…
Catatan: Dalam topik berikutnya yang akan Anda baca, Anda akan mempelajari tentang: Beberapa kelemahan eksekusi kode ditemukan dalam bahasa pemrograman…
Kepala bahasa pemrograman PHP baru-baru ini merilis versi terbaru PHP untuk memperbaiki beberapa kerentanan tingkat tinggi di perpustakaan inti dan integrasi, yang paling parah dapat memungkinkan penyerang jarak jauh untuk mengeksekusi kode sewenang-wenang dan membahayakan server tertentu.
Hypertext Preprocessor, umumnya dikenal sebagai PHP, adalah bahasa pemrograman web sisi server paling populer yang saat ini menangani lebih dari 78 persen Internet.
Versi terbaru dari berbagai cabang terkelola, termasuk versi PHP 7.3.9, 7.2.22 dan 7.1.32, menghadapi berbagai kerentanan keamanan.
Bergantung pada jenis, kemunculan, dan penggunaan basis kode yang terpengaruh dalam aplikasi PHP, eksploitasi yang berhasil atas beberapa kerentanan yang lebih parah dapat memungkinkan penyerang mengeksekusi kode arbitrer dalam konteks aplikasi PHP yang terpengaruh dengan hak istimewa yang relevan.
Selain itu, upaya eksploit yang gagal dapat mengakibatkan status denial of service (DoS) pada sistem yang terpengaruh.
Kerentanan dapat membuat ratusan ribu aplikasi web yang bergantung pada PHP terbuka terhadap serangan eksekusi kode, termasuk situs web yang mendukung beberapa sistem manajemen konten populer seperti WordPress, Drupal, dan Typo3.
Berdasarkan hal ini, kerentanan eksekusi kode yang bebas digunakan selanjutnya, yang disebut CVE-2019-13224, ditemukan di Oniguruma, pustaka ekspresi reguler populer yang disertakan dengan PHP, serta banyak bahasa pemrograman lainnya.
Penyerang jarak jauh dapat mengeksploitasi kelemahan ini dengan menyertakan ekspresi reguler yang dihasilkan secara khusus dalam aplikasi web yang terpengaruh, yang dapat menyebabkan eksekusi kode atau pengungkapan informasi.
“Penyerang menyediakan sepasang ekspresi reguler dan pola string, dengan pengkodean multibyte ditangani oleh onig_new_deluxe(),” kata Red Hat dalam penasehat keamanannya, yang menjelaskan kerentanan tersebut. .
Kelemahan lain yang ditambal memengaruhi ekstensi pembengkokan, fungsi Exif, FastCGI Process Manager (FPM), fitur Opcache, dll.
Kabar baiknya adalah sejauh ini belum ada laporan tentang kerentanan ini yang dieksploitasi penyerang di alam liar.
Tim keamanan PHP membahas kerentanan di versi terbaru. Oleh karena itu, pengguna dan penyedia hosting sangat disarankan untuk mengupdate server mereka ke versi PHP terbaru 7.3.9, 7.2.22 atau 7.1.32.
