Odborníci z bezpečnostní firmy CheckPoint objevili tři vážné zranitelnosti v PHP 7. Chyby prý dovolují úspěšně napadnout 80 procent webů, které používají nejnovější řadu populárního jazyka. Jde opět o „unserialized mechanism“, který byl před lety zneužíván už v PHP 5. Jedna z chyb přitom stále zůstává nezáplatovaná.
Konkrétně jsou chyby označeny jako:
- CVE-2016–7479 User After Free(UAF) Code Execution
- CVE-2016–7480 Use of Uninitialized Value Code Execution
- CVE-2016–7478 Remote Denial of Service
První dvě chyby umožňují plné ovládnutí serveru, což může vést k ukradení dat nebo třeba šíření malware. Třetí chyba pak dovoluje web zaseknout, vyčerpat paměť serveru a vyřadit ho tak z provozu. První dvě chyby byly už záplatovány, doporučujeme aktualizovat. Napadnutelné jsou následující verze:
- CVE-2016–7479 verze <= 7.0.13
- CVE-2016–7480 verze < 7.0.12
- CVE-2016–7478 verze <= 7.0.13 a 5.6.26