Executando verificação de segurança...
4
edneyrossi
2 min de leitura ·

[news] 27 Falhas encontradas no PHP

A PHP Foundation concluiu uma auditoria abrangente no núcleo da linguagem PHP, identificando e corrigindo vulnerabilidades críticas. Este esforço, realizado em parceria com a Sovereign Tech Fund e o Open Source Technology Improvement Fund (OSTIF), foi conduzido pela empresa de segurança francesa Quarkslab.

Auditoria de Segurança no Núcleo do PHP

A auditoria, com duração de dois meses, concentrou-se nos componentes mais críticos do código-fonte do PHP. Foram identificados 27 problemas, dos quais 17 estavam relacionados à segurança, incluindo três vulnerabilidades de alto risco e cinco de gravidade média. Os componentes afetados incluíam o PHP-FPM, a extensão PDO, o driver nativo do MySQL, o RFC 1867, a extensão OpenSSL e funcionalidades relacionadas a hash. Embora as vulnerabilidades tenham sido encontradas, o relatório indica que as condições para explorá-las são difíceis de alcançar. Todas as falhas identificadas já foram corrigidas.

Lançamento do PHP 8.4

Em novembro de 2024, foi lançado o PHP 8.4, trazendo melhorias significativas em segurança e desempenho. Entre as novidades, destacam-se os "Property Hooks", que permitem a execução de funções ao acessar ou modificar propriedades de uma classe, e a "Visibilidade Assimétrica", que permite diferentes níveis de acesso para leitura e escrita de propriedades. Além disso, o PHP 8.4 introduziu suporte para objetos preguiçosos (Lazy Objects) e atualizações na extensão DOM para conformidade com HTML5. Também foram adicionadas subclasses específicas para drivers PDO, como Pdo\Mysql e Pdo\Pgsql, permitindo APIs mais expressivas e restritivas. A extensão Sodium passou a suportar os algoritmos de criptografia AEGIS-128L e AEGIS256, oferecendo alternativas mais rápidas que o AES-GCM. Diversas dependências subjacentes foram atualizadas, incluindo libcurl, PCRE e OpenSSL, melhorando o suporte a recursos modernos e a segurança geral da linguagem.

Recomendações para Desenvolvedores

Dada a identificação e correção de vulnerabilidades críticas, é altamente recomendável que os desenvolvedores atualizem para as versões mais recentes do PHP, como o PHP 8.3.20 e o PHP 8.4.6, lançadas recentemente. Versões anteriores, como o PHP 5.8 e o PHP 7, já foram descontinuadas e não recebem mais atualizações de segurança. Manter o ambiente de desenvolvimento atualizado é essencial para garantir a segurança e a estabilidade das aplicações.

Referências

  • The PHP Foundation. "PHP Core Roundup #20: PHP 8.4 is Released!" 21 de novembro de 2024. citeturn0search0

  • The PHP Foundation. "PHP Foundation Update, November 2023." 27 de novembro de 2023. citeturn0search5

  • Zend by Perforce. "ZendPHP Release Notes." Abril de 2025. citeturn0search1

  • Seiden Group. "Which PHP Versions Get Critical Security Updates?" 19 de março de 2024. citeturn0search2

  • Beyond Machines. "PHP fixes critical vulnerability impacting all Windows PHP versions." 7 de junho de 2024. citeturn0search7

  • Externals. "PHP 8.3.6 Released." 2025. citeturn0search8

  • Snyk. "CVE-2024-8929 in php8.3." 14 de dezembro de 2024. citeturn0search6

  • GitHub Advisory Database. "CVE-2022-31626." 17 de junho de 2022. citeturn0search3

  • Zend by Perforce. "ZendPHP November 2024 Releases." Novembro de 2024. citeturn0search4

  • Microsoft Q&A. "PHP 8.3 Vulnerability CVE-2024-4577." 13 de novembro de 2024. citeturn0search9

Fonte: https://www.youtube.com/watch?v=MWcthX1R4Hc

Carregando publicação patrocinada...