SEGURIDAD: Actualizacion de seguridad de PHP

Las versiones no actualizadas de PHP contienen diversas vulnerabilidades que permiten a un atacante remoto provocar caídas de servicio y, bajo ciertas circunstancias, la ejecución de código arbitrario en el servidor.

PHP (PHP: Hypertext Preprocessor) es un popular lenguaje de scripting de propósito general, idóneo para el desarrollo web al ser posible su integración dentro del HTML. Se trata de un proyecto de código abierto muy utilizado para la confección de páginas web dinámicas (gracias a la
capacidad de lanzar consultas a bases de datos).

Las ocho vulnerabilidades resueltas, de las que no ha transcendido
demasiada información, son:

* Corrupción de memoria en "shmop_write()".

* Desbordamiento entero en "pack()" y "unpack()".

* Múltiples errores en el código de deserialización, que puede filtrar
información confidencial, la caída del servicio, y la ejecución de
código arbitrario.

* Gestión incorrecta de los caracteres "\0" en "addslashes()".

* Un atacante puede saltarse la protección de "safe_mode" y lanzar cualquier ejecutable del servidor.

* Un atacante puede acceder a cualquier fichero del sistema, a pesar de "safe_mode".

* Desbordamiento de búfer en "exif_read_data()".

* Acceso al directorio superior del directorio "upload".

Se recomienda a los administradores de sistemas PHP que actualicen con urgencia a la versión 4.3.10 o 5.0.3.

Como siempre, se recomienda también verificar la integridad de los ficheros, sobre todo si se bajan de "mirrors" en vez de servidor original. Los "hashes" criptográficos de los ficheros de código fuente son:

PHP 4.3.10 (tar.bz2) [3,932Kb] - md5: 7e56824dae9679c59a8234eb848aa542

PHP 4.3.10 (tar.gz) [4,778Kb] - md5: 73f5d1f42e34efa534a09c6091b5a21e

PHP 5.0.3 (tar.bz2) [4,500Kb] - md5: fd26455febdddee0977ce226b9108d9c

PHP 5.0.3 (tar.gz) [5,534Kb] - md5: bf89557056ce34d502e20e24071616c7

Mas informacion
Fuente de la noticia: Boletin de seguridad una-al-dia de Hispasec

Pagina oficial de PHP: http://www.php.net/


Saludos
Fernando Ferrari
fernandorferrari@yahoo.com.ar
by: jago.com.ar el 21.12.04

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)