Çıktığından beri kullanım oranı hızla yükselen PHP 7’de 3 adet zero-day açığı (yayınlandığı gün tespit edilen açık) tespit edildi.

Açıklar, PHP 7’deki unserialized mekanizmasıyla ilgili. Aynı mekanizma aslında PHP 5’te de bulunmuştu ve geçtiğimiz yıllarda açık kaynaklı popüler projeler üzerinden, istemci çerezlerine zararlı veri gönderilebilmesine sebep olmuştu.

Check Point firmasının güvenlik araştırmacıları, PHP 7’deki unserialized mekanizması üzerinde aylar süren denemeler yaptı ve mekanizmada üç adet yeni açık keşfetti.

PHP 7’deki açıklar PHP 5’te bulunanalardan farklı. Check Point’in Ağustos ayında yayınladığı rapora göre CVE-2016-7479, CVE-2016-7480 ve CVE-2016-7478 olarak kodlanan bu üç açık CVE-2015-6832 açığına benzer bir şekilde kullanılabiliyor.

Yukarıdaki ilk iki açık kullanılarak sunucuya tam erişim sağlanabiliyor. Kısacası hacker’lar bu açıkları kullanarak bir siteyi kapatabilir, müşteri bilgilerini çalabilir, hatta verilerinizi tamamen silebilirler. Üçüncü açık üzerinden ise  Denial of Service (DoS) saldırıları yaratmak mümkün.

Ekip, açıkları PHP güvenlik ekibine 15 Eylül ve 6 Ağustos’ta bildirdi. 13 Ekim ve 1 Aralık tarihlerinde açıklardan iki tanesi kapatıldı. Fakat bir açık hala kapatılmış değil.

Sunucunuzun güvenliğinden emin olmak için PHP.net’te yayınlanan tüm güvenlik güncellemelerini takip etmenizi ve uygulamanızı öneriyoruz.

 

Kaynak: http://thehackernews.com/2016/12/php-7-update.html