最近有项调查指出最新发现的程序语言漏洞可能会让上百万网站门户大开,安全专家预期专门针对此一漏洞的病虫随时会出现。
此一漏洞主要是会出现于使用PHP语言的网站服务器模块中,此一程序语言多数用于使用公开程序代码软件的网站,且可让网站迅速完成网页设计。
华盛顿大学资深安全工程师David Dittrich表示,虽然此漏洞的技术层次较高,不容易藉此制造出病虫,但若有心人士要加以利用也非难事。
上周一位PHP爱好者公布了如何侵入使用PHP软件3.0.10版至4.1.1版网站服务器的漏洞细节。入侵者若能侵入网站服务器软件,即能篡改网页或执行系统指令。英国网络研究团体Netcraft估计目前网络上约有840万个网站服务器使用有漏洞的PHP版本。而其中最容易遭侵入的则有一百万个网站。
若以此数字估算,PHP漏洞可能产生的危害可能不下于微软IIS漏洞所引发的红色警戒病虫(Code Red),eEye Digital Security首席破解Marc Maiffret如此表示。
他同时指出这类病虫已经有开始蠢蠢欲动的征兆。目前安全专家与一些黑客都有收到一支程序即是利用此漏洞瘫痪网站。
不过一位PHP计划成员Rasmus Lerdorf表示PHP病虫要入侵其实还没那么容易。由于不同版本之间可能承受的损害不一,病毒若要入侵还得先侦测出每一台主机的组成设定,然后才能找出有问题的程序代码。
另外,网站服务器通常被赋予的权限极少,不是管理者所用的“super user”模式,因此即使病虫入侵要作怪也不容易。
PHP团体的另一成员Stefan Esser表示这对使用PHP的网站管理员可能较为有利。“PHP是一种开放原始码计划,根据我的经验,使用开放原始码的用户通常会比微软产品用户来得更有安全观念。我相信开放原始码用户更新速度会比微软使用者更快,多数重要网站目前多已完成更新了。”
PHP 软件原来全名为Personal Homepage,后来则逐渐演变成为一种较复杂的语言,其最有名的是LAMP开放原始码软件,可让开发人员轻松架设网站,其软件包括Linux操作系统、Apache网站服务器、MySQL数据库、PHP或Python程序语言。
此次被公开的漏洞主要会影响执行Linux或Solaris操作系统的网站,但其中有个漏洞也会影响使用PHP模块3.0.10-3.0.18版本的微软的操作系统。
