Wah! PHP Vuln! Wajib baca...

bedebah · 13 Jan 2012

Ditemuken celah keamanan pada penggunaan array PHP, baru saya terima dari milis PHPclasses.org, diklaim sebagai bug yang juga pernah terjadi di tahun 2003! Gawats nih...
Saya agak bingung bagaimana menjelasken bagaimana bahayanya celah ini karena penjelasannya sangat puanjang dan nampak berbelit2...
Tapi intinya dengan variabel $_GET, $_POST, $_REQUEST, PHP dapat digunaken penyerang untuk membuat server nge'hang'.

This is not a new vulnerability. As a matter of fact it was presented already a long time ago in 2003. By then it seems that only Perl and cruby developers addressed the matter. Most other language developers did not take care of the matter, including PHP. So this is basically a rehash of an old problem.

Untuk Anda yang hobi bahasa Inggris lebih baik baca sendiri deh, lebih lengkap:
http://www.phpclasses.org/blog/post/171-PHP-Vulnerability-May-Halt-Millions-of-Servers.html

Penanganannya:

Although I am aware of this problem since X-mas when PHP was patched, I decided to wait until PHP 5.3.9 final version was made available to write this article. Despite many people knew of the vulnerability at least since then, it would not be helpful to spread the panic and talk more widely about this issue until a final official PHP version was released.

Now that PHP 5.3.9 is available, everybody that is responsible for Web servers should upgrade their PHP version. If your distribution vendor did not provide a patched version, you can always demand a fixed version now, especially if you are paying for support.

Segera upgrade php ke versi 5.3.9!

vkios01 · 13 Jan 2012

kayanya sudah ada setingannya ya om di php seblumnya? max_vars ya?
bukannya ada di php.ini ?

IIXPLANET · 13 Jan 2012

iya jika yg memakai suhosin option itu sudah ada di php config , namun yg belum memakai suhosin option itu skng available di dalam php 5.3.9 , jadi yg sudah make suhosin dan memakai ver php 5.2.17 dan sudah ga ada update dan ga mau make php 5.3.9 itu gpp sepertinya karena update 5.3.9 menambahkan option max_var yg sudah ada dalam suhosin.

bedebah · 13 Jan 2012

ya, benar sekali pak.

Michael Nicky · 14 Jan 2012

@bedebah
sangat membantu infonya, thanks br0.
semoga kita selalu bisa saling mengingatkan ..... segera upgrade.

felz · 14 Jan 2012

saya belum upgrade, rumor nya sih nanti ada beberapa scripts seperti agc jadi gak jalan

vkios01 · 16 Jan 2012

felz said:
saya belum upgrade, rumor nya sih nanti ada beberapa scripts seperti agc jadi gak jalan

yang sering biasanya masalah time zone om, menurut curhatan sebelumnya

twistedshells · 16 Jan 2012

dear rekans,

ada yang bisa bantu untuk PoC ga ya? kalau ada yang tertarik, saya mau siapin 2-3 dedicated server dan 2-3 vps buat PoC hal-hal beginian...jadi kita bisa test dulu apakah benar eXploitnya jalan atau hanya 'hoax'. Sekalian mau buat proyek 'non commercial' untuk masalah security di Indonesia khususnya dibidang hosting.

hemstar7 · 24 Feb 2012

nice info!
saya pake PHP 5.3.3 di CentOS 5.x
apa ini berpengaruh?
udah : yum update php53
No Packages marked for Update

kok gak ada y?
hmmmm

indoc0der · 24 Feb 2012

hemstar7 said:
nice info!
saya pake PHP 5.3.3 di CentOS 5.x
apa ini berpengaruh?
udah : yum update php53
No Packages marked for Update

kok gak ada y?
hmmmm

pake kontrol panel apa?

Wah! PHP Vuln! Wajib baca...

bedebah

Apprentice 2.0

vkios01

Expert 1.0

IIXPLANET

Expert 2.0

bedebah

Apprentice 2.0

Michael Nicky

Hosting Guru

felz

Beginner 2.0

vkios01

Expert 1.0

twistedshells

Apprentice 1.0

hemstar7

Beginner 2.0

indoc0der

Apprentice 1.0