Az US-CERT tegnap egy figyelmeztetést adott ki, amelyben egy a PHP-ben még februárban felfedezett, de csak most ismertté vált, kritikus hibára hívja fel a szerverüzemeltetők figyelmét. A frissen felbukkant súlyos sebezhetőség kihasználásával támadók letölthetik az érintett oldalak működését biztosító PHP programok forráskódját, amin keresztül újabb sebezhetőségeket azonosíthatnak vagy hozzáférési adatokat (pl. adatbázis felhasználónév és jelszó) szerezhetnek meg.

A hiba ugyanakkor szerencsére csak a PHP-t CGI módban használó oldalakat és szervereket érinti, de az ISAPI modullal vagy a FastCGI-n keresztül a webszerverrel a kapcsolatot tartó installációkat nem. Lényegét az képezi, hogy a CGI módban meghívott PHP értelmezőnek a kliensek egy apró trükk segítségével olyan paramétert tudnak egy oldalletöltési URL részeként átadni, ami a PHP forráskódok feldolgozás nélküli kiprintelésére utasítja az interpretert.

A PHP fejlesztői ugyan a hét elején kiadtak egy javítóváltozatot a hibára - a PHP 5.3.12 ill. 5.4.2 személyében -, ezek azonban valójában nem akadályozzák meg a sebezhetőség kihasználását utóbbi felfedezője szerint. Az egyetlen biztos védelmet így jelenleg csak az ISAPI vagy FastCGI módú futtatásra történő áttérés jelenti - bár a legtöbb ma használt telepítés egyébként vélhetően már egyébként is ezekkel működik, amely esetben a szerver foltozására nincs szükség.