В PHP библиотеках XML-RPC (http://phpxmlrpc.sourceforge.net/) и PEAR XML-RPC (http://pear.php.net/package/XML_RPC/) снова обнаружена уязвимость (http://www.opennet.me/base/cgi/1124210286_1133.txt.html), позволяющая запустить злоумышленнику свой PHP код.

Опасность грозит прежде всего пользователям систем управления контентом в которых используется XML-RPC (например, PostNuke, Drupal, b2evolution, TikiWiki).

Механизм проблемы, тот же что и в прошлой ошибке (http://www.securityfocus.com/bid/14088), найденной в конце июня, - подстановка через eval(). Команда, Hardened-PHP Project (http://www.hardened-php.net/), обнаружившая уязвимость, рекомендовала разработчикам XML-RPC полностью избавиться от практики использования eval() в коде библиотеки.

URL: http://itua.info/3104.html
Новость: http://www.opennet.me/opennews/art.shtml?num=5972

• Критическая уязвимость в PHP библиотеках XML-RPC и PEAR XML-RPC.,McLone, 11:30 , 27-Авг-05

не прошло и пол-года...