Submit: Tips | News

Home
Bugs

Bulan Pepijat PHP

Submitted by sameon on Fri, 03/02/2007 - 06:48

Stefan Esser dari Hardened-PHP dan Suhosin extension telah mengumumkan bulan pepijat PHP, di mana beliau akan menerbitkan pepijat-pepijat yang wujud dalam core PHP bukan dari sudut aplikasi, tetapi dari sudut bahasa itu sendiri. Penerbitan ini akan dijalankan selama 30 hari dan pada hari pertama, beliau sudah menunjukkan POC (Proof of Concept) bagaimana pepijat tersebut boleh timbul. Anda boleh lihat pengumuman beliau setiap hari sepanjang bulan Mac di sini.

Ini adalah satu bulan yang sibuk bagi PHP. Saya menunggu hasil yang akan ditimbulkan daripada penerbitan ini. 

»

Kelemahan "phpinfo()"

Submitted by SMD on Tue, 04/11/2006 - 06:23

Maksymilian Arciemowicz telah melaporkan terdapat kelemahan di dalam PHP 4.4.x dan 5.1.x. Kelemahan tersebut membuka ruang malicious people untuk membuat serangan Cross-Site Scripting. Antara kelemahan-kelemahan yang telah dilaporkan ialah:

1) "phpinfo()" PHP function only sanitises the first 4096 characters of an array request parameter before it is returned to users. This can be exploited to execute arbitrary HTML and script code in a user's browser session in context of an affected site via a script calling "phpinfo()". [MORE INFO]

 
2) An error in the "tempnam()" PHP function can be exploited to bypass the "open_basedir" directive and create temporary files in arbitrary directories via directory traversal attacks. [MORE INFO]

 
3) An error in the "copy()" PHP function can be exploited to bypass the safe mode protection mechanism and access files outside the "open_basedir" root via the "compress.zlib://" file wrapper. [MORE INFO]

SOLUTION:
http://cvs.php.net/viewcvs.cgi/php-src/NEWS

PHP scripts calling "phpinfo()" should not be publicly accessible on production systems.
 

»

phpMyAdmin HTTP Response Splitting Vulnerability

Submitted by _SMD_ on Thu, 11/17/2005 - 03:28

Secunia.com telah melaporkan satu penemuan "security hole" di dalam script phpMyAdmin versi 1.x dan 2.x.
Baca laporan penuh
Bagi mengelakkan daripada script ini di eksplotasi, anda perlu mengemaskini ke versi terbaru yang telah dikeluarkan.
phpMyAdmin versi 2.6.4-pl4.
http://www.phpmyadmin.net/home_page/downloads.php

»

PHP & PHPBB Vulnerability

Submitted by sameon on Wed, 11/02/2005 - 20:46

Sumardi http://www.sumardi.net telah menghantar "posting" di forum mengenai kelemahan PHP yang anda mungkin gunakan. Juga ada beberapa link mengenai kelemahan perisian PHPBB. Anda boleh baca lebih lanjut di http://www.php.net.my/forum/thread.php/9/695 dan juga di http://blog.php-security.org/archives/16-Scary-security-updates-at-Halloween.html

TQ SMD

»
Serious about PHP ?
Subscribe to our mailing list

Latest Event
  • No upcoming events available
Add to iCalendar
more
Sites Built using PHP
Highest Users
UserPoints
amin007974
aku_tak_tau906
hymns546
jobless450
alien3d294
more
Twitter
  • Salam Ramadhan and Selamat Berpuasa to all our Muslims friends
  • 36hr OSS WebDev Contest at MyGOSSCON 2010 - grand prize is RM 10K. Check it out at http://bit.ly/dhkHuE
  • Google #devfest at TPM Bukit Jalil. 300-400 people is attending.
  • NuSphere PHPDock, run your php application as a desktop apps. http://bit.ly/b3yJrn
  • Tq to all who came to php meetup. Please use the #phpnetmy hashtag.
more
Navigation
User login