PHP si aggiorna alla versione 5.3.10

Arriva una nuova versione di PHP: il team di sviluppatori ha, infatti, reso disponibile la release 5.3.10 che va a risolvere una vulnerabilita critica evidenziata da Stefan Esser, creatore di Suhosin e uno dei piu noti hacker iPhone/iOS: l'aggiornamento e altamente consigliato a tutti gli utenti che adottano PHP 5.3.9. Con il rilascio della penultima versione del linguaggio di scripting e accaduto qualcosa che si verifica di rado: una patch sviluppata per rimediare a una vulnerabilita ha prodotto un bug ancora piu pericoloso di quello che si e andato a correggere.

Arriva una nuova versione di PHP: il team di sviluppatori ha, infatti, reso disponibile la release 5.3.10 che va a risolvere una vulnerabilità critica evidenziata da Stefan Esser, creatore di Suhosin e uno dei più noti hacker iPhone/iOS: l’aggiornamento è altamente consigliato a tutti gli utenti che adottano PHP 5.3.9. Con il rilascio della penultima versione del linguaggio di scripting è accaduto qualcosa che si verifica di rado: una patch sviluppata per rimediare a una vulnerabilità ha prodotto un bug ancora più pericoloso di quello che si è andato a correggere.

Rilasciata appena un mese fa, PHP 5.3.9 andava a correggere un bug che rendeva possibile attacchi DoS, dovuti a collisioni hash: in pratica si poteva arrivare a esaurire in breve tempo le risorse disponibili sulla macchina, portando all’irraggiungibilità dei siti ospitati sul server. Per risolvere tale problematica, gli sviluppatori PHP hanno limitato il numero di parametri in ingresso a 1.000, tramite l’introduzione della variabile max_input_vars. Ciò però ha portato a una nuova vulnerabilità ancora più pericolosa che rende possibile per un utente remoto, sfruttando un errore di memoria, inviare dati che permettono di eseguire codice arbitrario sulla macchina sotto attacco. La versione 5.3.10 di PHP va a risolvere proprio tale problematica.