Lubang di Aplikasi Blog Bisa Picu 'Badai'

Jakarta - Aplikasi Blog populer berbasis PHP diketahui dapat terpengaruh oleh 'lubang' keamanan pada cara PHP menangani XML. Banyaknya pengguna program tersebut dikhawatirkan akan memicu 'badai' serangan cyber.Aplikasi yang terpengaruh termasuk aplikasi populer untuk mendirikan Blog, Wiki maupun sistim manajemen konten lainnya. Beberapa nama aplikasi seperti PostNuke, WordPress, Drupal, Serendipity, phpAdsNew, phpWiki dan phpMyFAQ masuk dalam daftar.Kelemahan itu terdapat pada fungsi XML-RPC yang banyak digunakan dalam aplikasi web. Extensible Markup Languange (XML) adalah format yang banyak digunakan dalam aplikasi untuk menyimpan data dan membuat feed untuk diterbitkan sebagai sindikasi.Remote Procedure Call (RPC) yang digunakan library PHP tertentu dikabarkan gagal melakukan pengujian menyeluruh pada kemungkinan datangnya perintah atau data yang bisa merusak. Termasuk di antara yang terpengaruh adalah PHPXMLRPC dan Pear XML-RPC, keduanya banyak digunakan dalam aplikasi PHP yang disebut sebelumnya.Kelemahan ini ditemukan oleh James Bercegay dari GulfTech Security Research. "Dengan membuat file XML yang memakai kutip tunggal, seorang penyerang bisa menjalankan kode PHP pada server targetnya," tutur Bercegay seperti dikutip detikinet dari Netcraft, Selasa (5/7/2005).Libraries yang sudah diperbaiki kini sudah tersedia di situs PHP. Bagi pemakai aplikasi yang menjalankan situsnya di layanan hosting bersama (shared hosting) mungkin harus meminta pengelola server untuk melakukan update tersebut.Pengamat keamanan Internet dari Internet Storm Center (ISC) khawatir kelemahan ini bisa menjadi 'badai' serangan cyber. Pasalnya pengguna aplikasi yang terpengaruh kelemahan ini cukup besar.Namun menurut Deb Hale, petugas dari ISC, peringatan akan adanya 'badai' belum menjadi prioritas mereka untuk saat ini. ISC masih menunggu satu hari lagi untuk melihat perkembangan yang terjadi. Sejauh ini ISC telah mencatat masih adanya kelemahan pada aplikasi phpBB yang juga cukup populer, selain kelemahan pada Java dan piranti keamanan dari Veritas. (wicak/)