Фонд Open Source Technology Improvement Fund (OSTIF) объявил о завершении аудита кода PHP, который проводила французская компания QuarksLab. Она ранее проверяла проекты OpenVPN, VeraCrypt и OpenSSL. В результате были найдены 27 проблем, из которых 17 затрагивают безопасность, а 10 касаются информации. Две уязвимости получили статус опасных, шесть имеют средний уровень опасности, а девять признаны неопасными.
Среди найденных проблем:
- CVE-2024-8928: уязвимость в фильтрах, ведущая к повреждению памяти.
- CVE-2024-8929: брешь в драйвере MySQL, вызывающая утечку памяти из-за вычитки данных за пределами буфера, что может привести к раскрытию данных других SQL-запросов при подключении к серверу MySQL, контролируемому атакующим.
- Проблема в PHP-FPM, позволяющая организовать DoS-атаку за счёт перегрузки процессора.
- Три средней опасности проблемы в обвязке над OpenSSL, касающиеся выравнивания ключей, перезаписи вектора инициализации и отсутствия проверки DH-параметров, а также четыре неопасные проблемы в этом компоненте.
- Целочисленное переполнение при разборе php.ini.
- CVE-2024-9026: уязвимость в PHP-FPM, позволяющая удалять символы из логов.
- CVE-2024-8925: проблема с разбором multipart-форм, ведущая к некорректной обработке данных.
Этот аудит выявил важные аспекты, требующие внимания в области безопасности PHP, что важно учитывать при аренде серверов и использовании связанных IT-услуг.
