PHP : les utilisateurs en danger ?

Depuis dix ans, le langage ‘

open source‘ PHP représente une alternative performante aux frameworks middleware .NET de Microsoft et J2EE de Sun. Il est d’ailleurs un des composants de la réputée pile LAMP (Linux ; Apache ; MySQL ; PHP). Mais comme tous les environnements et plates-formes de développement, PHP peut présenter des faiblesses ! Ainsi, des failles récemment découvertes minent les dernières versions de PHP 4 et 5. Mais si PHP 4 dispose d’un patch qui vient corriger la faille, PHP 5 reste en attente d’un correctif. Tous deux présentent des risques sérieux d’attaques par déni de services sur les sites Web. D’autres risques potentiels portent sur des attaques CSS (cross site scripting) dans phpinfo(), et des menaces d’outrepasser les mesures de sécurité pour accéder à un système sans y être autorisé. La version PHP 4.4.1 patchée, proposée par le PHP Development Team (php.net) corrige ainsi plus de 35 défauts sur PHP 4.x. En revanche, PHP 5.x continue de présenter des risques. Mais selon Internetnews.com, il est illusoire d’attendre un patch 5.0.6, et préférable de se tourner vers la mise à jour PHP 5.1.0, qui devrait être disponible vers le 10 novembre.