Le PHP Group va publier des mises à jour complémentaires pour différentes versions de PHP, afin de corriger définitivement deux failles capable de générer une exécution de code à distance. La première est connue sous le nom CVE-2012-1823 dans php-cgi, un composant qui permet à PHP de fonctionner dans une configuration CGI (Common Gateway Interface). Cette vulnérabilité a été découverte et signalée au PHP Group à la mi-janvier par une équipe de passionnés d'informatique baptisée De Einbadzen. Le bug change l'interprétation de la chaîne de caractères contenant «- » pour que le composant php-cgi puisse gérer des lignes de commandes, comme -s, -d,-c. La faille peut-être exploitée pour dévoiler du code source depuis les scripts PHP ou éxécuter du code malveillant sur des systèmes vulnérables.

Des mises à jour inefficaces

Le 3 mai dernier, le PHP Group a publié en urgence les mises à jour de PHP 5.3.12 et PHP 5.4.2 pour corriger ces failles, car des éléments techniques de l'utilisation des vulnérabilités avaient été rendus publics. Cependant, peu de temps après, Stefan Esser, le créateur de Suhosin, extension de sécurité pour PHP, a indiqué  via Twitter que le correctif CVE-2012-1823 inclus dans PHP 5.3.12 et PHP 5.4.2 peut facilement être contourné.

Le PHP Group a reconnu l'inefficacité de son patch d'origine et prévoit la publication d'une autre mise à jour mardi. « Ces mises à jour fixeront la faille CGI et une autre liée au problème apache_request_header dans CGI (seulement pour la version 5.4) » précise le groupe. Ce dernier problème peut être utilisé pour une saturation de la mémoire tampon et généré une exécution de code à distance, explique, sur son compte twitter, Georg Wicherski, analyste spécialisé sur les malwares, .

Les deux spécialistes ont critiqué l'attitude du PHP Group qui n'a pas émis d'alerte sur la page de PHP.net quant aux différentes failles. Cela peut créer une confusion chez les développeurs qui pourraient ne pas mettre à jour leur produit en s'estimant déjà protégés.