خدمات ابری گوگل از PHP پشتیبانی می‌کند

/در , , , , /توسط
مرکز توسعه خدمات پردازش ابری Cloud گوگل به تازگی پیش نمایش عمومی سرویس جدید خود موسوم به PHP on Cloud Functions را منتشر کرد.
 
سیستم Functions گوگل مخصوص PHP به گونه‌ای طراحی شده است که تمامی توابع HTTP را پشتیبانی می‌کند تا به رویدادهای HTTP پاسخ دهد.
 
همچنین توابع CloudEvent برای پردازش رویدادهایی که از سرویس‌های خارجی و داخلی خدمات ابری گوگل دریافت می‌شود و از جمله آنها می‌توان به Pub/Sub، Cloud Storage و Firestore اشاره کرد نیز مورد پشتیبانی قرار می‌گیرند.
 
سیستم Cloud Functions در اصل یک محیط اجرایی بدون سرور برای ساخت و اتصال سرویس‌های پردازش ابری محسوب می‌شود و توابع اجرا شده در آن از زمان‌های خاص زبان‌های برنامه نویسی از جمله Go، پایتون، Node.js، جاوا، NET.، Ruby و PHP را پشتیبانی می‌کنند.
 
سیستم Functions Framework for PHP که به صورت منبع باز طراحی شده روی پلتفرم GitHub در دسترس است. این سیستم از توابع سبک که در محیط‌های مختلف اجرا می‌شوند پشتیبانی می‌کنند که از جمله آنها می‌توان به ماشین‌های توسعه محلی، محیط‌های مبتنی بر Knative، و سیستم‌های Cloud Run و Cloud Run روی GKE اشاره کرد.
 
محیط PHP 7.4 زمان اجرا، سیستم عامل و کتابخانه‌ای را شامل می‌شود که عملکرد مربوطه را فراخوانی می‌کند و هم اکنون روی خدمات پردازش ابری گوگل مورد پشتیبانی قرار گرفته است.
 

مایکروسافت زبان PHP را در ویندوز کنار می‌گذارد

/در , , , , /توسط
شرکت مایکروسافت اعلام کرد توسعه سیستم عامل ویندوز مبتنی بر نسخه 8.0 و بعد از آن در زبان برنامه نویسی PHP را متوقف می‌کند. «دالی هرت» مدیر برنامه مایکروسافت این خبر را هفته گذشته اعلام کرد و توضیح داد پشتیبانی از زبان برنامه نویسی PHP 7.2 نوامبر امسال به پایان می‌رسد و پس PHP 7.3 فقط در همان ماه پشتیبانی امنیتی را دریافت می‌کند.
 
آقای هرت همچنین اعلام کرد نسخه PHP 7.4 به مدت یک سال دیگر پشتیبانی‌های امنیتی برای رفع حفره‌های موجود و اشکالات پیش آمده را دریافت می‌کند. او گفت: «ما متعهد هستیم تا از توسعه و ساخت PHP با نسخه‌های 7.2، 7.3 و 7.4 در ویندوز پشتیبانی کنیم و تا زمانی که به صورت رسمی مورد پشتیبانی قرار می‌گیرند، نسخه‌های به‌روز رسان را ارایه دهیم. با این وجود ما قصد نداریم از PHP در ویندوز در نسخه 8.0 و بعد از آن پشتیبانی کنیم.»
 
 
در این میان شرکت Sara MG که توسعه دهنده اصلی هسته مرکزی زبان PHP محسوب می‌شود اظهار داشت که نسخه PHP 8 همچنان مورد پشتیبانی قرار خواهد گرفت و حتی اگر مایکروسافت به پشتیبانی از آن پایان دهد، این شرکت همچنان آن را پوشش خواهد داد.

هشدار مرکز افتا؛ شناسایی نقص امنیتی در نسخه‌های جدید زبان برنامه‌نویسی PHP

/در , , , , , , /توسط
 
مرکز مدیریت راهبردی افتای ریاست جمهوری نسبت به شناسایی نقص امنیتی در نسخه‌های جدید زبان برنامه‌نویسی PHP هشدار داد که از این نقص برای تحت کنترل درآوردن سرورها سوءاستفاده شده است.
 
 به نقل از معاونت بررسی مرکز افتا، آسیب‌پذیری جدید اجرای کد از راه دور در زبان برنامه نویسی PHP سبب شده که از این نقص امنیتی اخیرا برای تحت کنترل درآوردن سرورها سوءاستفاده شود.
 
زبان PHP رایج‌ترین زبان برنامه‌نویسی است که برای ساخت وب‌سایت‌ها استفاده می‌شود. در این نرم افزار، آسیب‌پذیری با شماره CVE-۲۰۱۹-۱۱۰۴۳ ردیابی می‌شود و به مهاجمان اجازه می‌دهد تا با دسترسی به یک URL ساخته شده، دستوراتی را روی سرورها اجرا کنند.
 
بهره‌برداری از این آسیب‌پذیری به سادگی انجام می‌شود و کد اثبات مفهومی (PoC) آن به صورت عمومی در گیت‌هاب منتشر شده و در دسترس کاربران است.
 
طبق گفته کارشناسان امنیتی، اسکریپت PoC موجود در گیت‌هاب می‌تواند از طریق وب سرور مورد نظر وجود آسیب‌پذیری را بررسی کند و هنگامی که یک هدف آسیب‌پذیر شناسایی شود، مهاجم می‌تواند به سرور وب آسیب‌پذیر، درخواست دستکاری شده ارسال کند.
 
در این آسیب پذیری که وصله مربوط به آن نیز منتشر شده است، همه سرورهای مبتنی بر PHP تحت تأثیر قرار نمی‌گیرند و تنها سرورهای NGINX که ویژگی PHP-FPM آن‌ها فعال باشد آسیب‌پذیر هستند؛ برخی از ارائه‌دهندگان میزبانی وب این مولفه را به عنوان بخشی از محیط میزبانی PHP اضافه می‌کنند.
 
مرکز افتا تاکید کرد که با توجه به در دسترس بودن کد PoC و سادگی بهره‌برداری از این نقص، به صاحبان وب‌سایت‌ها توصیه می شود تنظیمات وب سرور را بررسی و نسخه PHP را در اسرع وقت به روز کنند.

‫ آسیب پذیری جدید PHP در کمین WORDPRESS

/در , , , , , /توسط
محقق امنیت سایبری مرکز Secarma ، به تازگی یک #‫آسیب_پذیری بر روی زبان PHP منتشر کرده که بخش Installations سیستم مدیریت محتوا Wordpress را آسیب پذیر خواهد کرد. بر اساس گزارش منتشره، این آسیب پذی که از نوع Code Execution بوده در تاریخ 28 فوریه 2017 به تیم امنیتی وردپرس گزارش شده، اما تا به امروز این آسیب پذیری رفع نشده است.
این آسیب پذیری تنها سیستم مدیریت محتوا Wordpress را هدف نمی گیرد، چراکه آسیب پذیری در زبان برنامه نویسی PHP بوده و تمامی Application های PHP-based را تحت تأثیر خود قرار خواهد داد. این آسیب پذیری در ساختار Deserialization زبان برنامه نویسی PHP وجود دارد که همان عملکرد بازگرداندن String ها به PHP Object ها می باشد. از سال 2009 که اولین بار محقق امنیت سایبری آلمانی به نام Stefan Esser حمله موفقیت آمیز به ساختار Deserialization را منتشر کرد، بارها آسیب پذیری های مشابه و Exploit های آنها توسط روش های مختلف منتشر شده است که باعث حملات مختلف بر علیه سرورها و PHP Application ها شده است.
آسیب پذیری جدید منتشر شده باعث می شود که نفوذگر بتواند داده های مد نظر خود را بر روی سرور قربانی Upload کند. این خود باعث می شود که راهی برای فراخوانی phar:// را برای نفوذگر فراهم کند در نهایت امکان اجرای کدهای آلوده بر روی سرور قابل انجام خواهد بود. این آسیب پذیری بر روی پروسه عملکرد توابع thumbnail در سیستم مدیریت محتوا Wordpress اثر می گذارد و در صورت Upload فایلهای عکس آلوده بر روی سرور مد نظر، امکان Exploit کردن این آسیب پذیری برای نفوذگر فراهم می گردد. در تحقیقات اولیه علاوه بر Wordpress، سیستم مدیریت محتوا Typo3 و Contao هم دارای این آسیب پذیری هستند. شایان ذکر است که برای انجام این حمله به وردپرس، دو فایل متفاوت Payload ؛ یکی برای نسخه 4.9 و دیگری برای نسخه های پایین تر باید آماده گردد. بر خلاف وردپرس که تا این لحظه (آماده سازی این مطلب) به روز رسانی برای رفع آسیب پذری فوق ارائه نکرده است، تیم پشتیبانی Typo3 در آخرین به روز رسانی خود این آسیب پذیری را رفع نموده است.
این آسیب پذیری در هفته گذشته در دو کنفرانس BlackHat و BSides معرفی شده است. همچنین  بر روی کتابخانه TCPDF هم وجود دارد که برای کار کردن با فایلهای PDF در زبان PHP می باشد. برای جلوگیری از حمله بر علیه این CMS ها و کتابخانه های مشابه، به روز رسانی هایی که در چند روز آینده ارائه خواهند شد را حتما بر روی سامانه های خود اعمال نمائید.