مسئولین نگهداری زبان برنامه نویسی PHP به تازگی نسخه جدیدی از این زبان را جهت وصله کردن چندین آسیب‌پذیری بحرانی در کتابخانه‌های اصلی و همراه آن منتشر کردند که شدیدترین آن‌ها به مهاجمان از راه دور امکان اجرای کد دلخواه را می‌دهد و سرورهای هدف را به خطر می‌اندازد.

PHP Preprocessing Hypertext، که معمولاً با عنوان PHP شناخته می‌شود‌، محبوب‌ترین زبان برنامه‌نویسی وب سرور است که امروزه بیش از ۷۸ درصد از اینترنت را در اختیار دارد.

آخرین نسخه های موجود در چندین نسخه نگهداری شده شامل PHP نسخه ۷.۳.۹، ۷.۲.۲۲ و ۷.۱.۳۲ است که به چندین آسیب پذیری امنیتی می‌پردازد.

بسته به نوع، رویداد و استفاده از codebaseهای تحت تأثیر در یک برنامه PHP، سوء استفاده موفقیت‌آمیز از شدیدترین این آسیب‌پذیری‌ها می‌تواند به مهاجمان اجازه دهد تا کد دلخواه خود را در چارچوب برنامه آلوده شده و با سطح دسترسی همان برنامه اجرا کند.

از سوی دیگر، تلاش‌های ناکام در سوءاستفاده احتمالا منجر به denial of service (DoS) در سیستم آسیب‌دیده خواهد شد.

این آسیب‌پذیری می‌تواند صدها هزار برنامه وب را که از PHP استفاده می‌کنند، در معرض حملات اجرای کد قرار دهد؛ از جمله وب‌سایت‌هایی که توسط برخی از سیستم‌های محبوب مدیریت محتوا مانند WordPress، Drupal و Typo3 ساخته شده‌اند.

از این میان، آسیب‌پذیری اجرای کد “use-after-free” که با عنوان CVE-2019-13224 شناخته شده است، در Oniguruma (یک کتابخانه رجکس (regular expression) که همراه با PHP و زبان‌های برنامه‌نویسی دیگر ارائه می‌شود) واقع است.

یک مهاجم از راه دور می‌تواند با وارد کردن یک رجکس خاص در برنامه آلوده، از این نقص سوءاستفاده کند که قادر است منجر به اجرای کد یا افشای اطلاعات گردد.

Red Hat در مشاوره امنیتی خود آسیب پذیری را توصیف می‌کند: « مهاجم یک جفت از الگوی regex و یک رشته را با رمزگذاری multi-byte مورد استفاده قرار می‌دهد که توسط onig_new_deluxe() به کار خواهد رفت. »

سایر نقص‌های وصله شده بر الحاق curl، عملکرد Exif، FastCGI Process Manager (FPM)، ویژگی Opcache و سایر موارد تاثیر می‌گذارد.

خبر خوب این است که تا کنون گزارشی از سوءاستفاده گسترده از هیچ کدام از این آسیب پذیری‌های امنیتی توسط مهاجمان منتشر نشده است.

تیم امنیتی PHP در جدیدترین نسخه‌ها به رفع آسیب‌پذیری‌ها پرداخته‌اند. بنابراین به کاربران و ارائه دهندگان hosting توصیه می‌شود که سرورهای خود را به آخرین نسخه PHP، ۷.۳.۹ ، ۷.۲.۲۲ یا ۷.۱.۳۲ ارتقا دهند.