Vie du réseau
Une faille a été découverte dans les nouvelles versions du langage de publication web PHP. Elle pourrait permettre à certains agresseurs de bloquer, voire de contrôler des ordinateurs via l’internet. C’est ce qu’a annoncé le 22 juillet le groupe de développement du format en question, PHP Group.
Cette faiblesse concerne les versions 4.2.0 et 4.2.1 de PHP. Cette dernière compromet différentes architectures d’ordinateurs, et ce de multiples manières : les serveurs web fonctionnant sous matériel Intel IA-32 peuvent être bloqués et les autres systèmes, y compris Solaris de Sun Microsystems, risquent de permettre l’infiltration d’agresseurs.
La faille provient de la manière dont PHP gère la mémoire attribuée aux données récupérées sur les pages web dans les formulaires des clients. Ces données sont connues sous le nom de "POST", d’après la commande HTTP correspondante. Elles pourraient être formatées par un agresseur de manière à compromettre le serveur web.
« Si vous utilisez PHP 4.2.x, vous devez effectuer la mise à jour aussi vite que possible », prévient Stefen Esser, le développeur du PHP Group qui a découvert la faille. « Si vous ne pouvez effectuer la mise à jour pour quelque raison, le seul moyen de pallier le problème consiste à désactiver toutes les requêtes POST de votre serveur. »
C’est le second problème de sécurité découvert pour PHP cette année. Un autre défaut portant sur un nombre plus important de versions avait été révélé au mois de février. Il aurait pu conduire à encore plus d’attaques extérieures.
La nouvelle version 4.2.2, finalisée par le PHP Group cette semaine, corrige le problème.
PHP est un acronyme qui trouve son origine dans le nom Personal Homepage avant de devenir PHP Hypertext Preprocessor. Ce langage de publication conforme aux normes HTML est une solution pratique et "open source" pour publier des pages web.
L’ensemble des logiciels constituant la solution est couramment désigné par le sigle LAMP, chaque lettre représentant un élément logiciel : le système d’exploitation Linux, le serveur web Apache, la base de données MySQL et le langage PHP. Parfois, un autre langage de programmation, Python, est utilisé dans les configurations LAMP.
Robert Lemos, CNET News.com
Source ZDNET)