সিকিউরিটি অনলাইনের মতে, PHP-তে দুটি নতুন দুর্বলতা আবিষ্কৃত হয়েছে এবং CVE-2023-3823 এবং CVE-2023-3824 শনাক্তকারী হিসেবে চিহ্নিত করা হয়েছে। CVE-2023-3823 দুর্বলতা, যার CVSS সূচক 8.6, একটি তথ্য প্রকাশের দুর্বলতা যা দূরবর্তী আক্রমণকারীদের PHP অ্যাপ্লিকেশন থেকে সংবেদনশীল তথ্য পেতে দেয়।
এই দুর্বলতা ব্যবহারকারীর দ্বারা প্রদত্ত XML ইনপুটের অসম্পূর্ণ যাচাইকরণের ফলে উদ্ভূত হয়। একজন আক্রমণকারী অ্যাপ্লিকেশনটিতে একটি বিশেষভাবে তৈরি XML ফাইল পাঠিয়ে এটি কাজে লাগাতে পারে। অ্যাপ্লিকেশনটি এরপর কোডটি বিশ্লেষণ করবে, যার ফলে আক্রমণকারী সংবেদনশীল তথ্য, যেমন সিস্টেম ফাইলের বিষয়বস্তু বা বহিরাগত অনুরোধের ফলাফল অ্যাক্সেস করতে পারবে।
বিপদটি হলো যে কোনও অ্যাপ্লিকেশন, লাইব্রেরি, বা সার্ভার যা XML ডকুমেন্টগুলি পার্স করে বা ইন্টারঅ্যাক্ট করে, তারা এই ত্রুটির জন্য ঝুঁকিপূর্ণ।
বহুল ব্যবহৃত প্রোগ্রামিং ভাষা হিসেবে, পিএইচপি-র গুরুতর নিরাপত্তা দুর্বলতা রয়েছে।
এদিকে, দুর্বলতা CVE-2023-3824 হল একটি বাফার ওভারফ্লো দুর্বলতা যার CVSS স্কোর 9.4, যা একজন রিমোট আক্রমণকারীকে PHP-ভিত্তিক সিস্টেমে ইচ্ছামত কোড কার্যকর করতে দেয়। এই দুর্বলতা PHP ফাংশনের ভুলভাবে সীমা পরীক্ষা করার কারণে ঘটে। একজন আক্রমণকারী অ্যাপ্লিকেশনে একটি বিশেষ অনুরোধ পাঠিয়ে এটিকে কাজে লাগাতে পারে, যার ফলে একটি বাফার ওভারফ্লো তৈরি হয় এবং ইচ্ছামত কোড কার্যকর করার জন্য সিস্টেমের নিয়ন্ত্রণ অর্জন করে।
এই বিপদের কারণে, ব্যবহারকারীদের যত তাড়াতাড়ি সম্ভব তাদের সিস্টেমগুলিকে PHP সংস্করণ 8.0.30 এ আপডেট করার পরামর্শ দেওয়া হচ্ছে। এছাড়াও, তাদের PHP অ্যাপ্লিকেশনগুলিকে আক্রমণ থেকে রক্ষা করার জন্য পদক্ষেপ নেওয়া উচিত, যেমন সমস্ত ব্যবহারকারীর ইনপুট প্রমাণীকরণ এবং একটি ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল (WAF) ব্যবহার করা।
[বিজ্ঞাপন_২]
উৎস লিঙ্ক
মন্তব্য (0)