ثغرة في PHP7 تسمح بالسيطرة على خوادم الويب عن بعد
تعد لغة برمجة PHP واحدة من أكثر لغات البرمجة شيوعا إذ تشكل الأساس لأنظمة إدارة المحتوى الشائعة مثل ووردبريس ودروبال، بالإضافة إلى تطبيقات الويب الأكثر تطوراً مثل فيسبوك لذلك يعد اكتشاف ثغرة امنية في هذة اللغة حدثا ضخما.
قبل يومين كشف باحث أمني مقيم في روسيا يدعى ايمل ليرنر عن ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في النسخة السابعة من PHP وهي النسخة الأحدث من تلك اللغة ذات الشعبية الكاسحة بين مطوري الويب.
ووفقا لكشف ليرنر فإن الثغرة تسمح للمهاجم بأن يجبر خادم ويب عن بعد على تنفيذ التعليمات البرمجية الخاصة به ببساطة عن طريق الوصول إلى عنوان ويب مخصص. يحتاج المهاجم فقط إلى إضافة “؟a=” إلى عنوان موقع الويب متبوعة بالكود الخاص به.
وتعد هذة الثغرة من الخطورة بأنها تسمح حتى للمهاجمين غير المحترفين من اختراق مواقع الويب وعلى الرغم من وجود إصلاحات وحلول في الوقت الحالي فإن المشكلة تظل قائمة فليس كل شخص يبادر بشكل خاص إلى التحديث الفوري. فبعد مرور نحو عامين ونصف على الكشف عن خلل Heartbleed OpenSSL ظل أكثر من 200000 خادم عرضة للخطر.
لحسن الحظ فإن الثغرة تؤثر فقط على الخوادم التي تستخدم خادم الويب NGINX مع امتداد PHP-FPM وهو عبارة عن نسخة مخصصة من FastCGI مع بعض الميزات الإضافية المصممة للمواقع التي تستقبل عدد كبير من الزيارات.