Nueva versión de PHP resuelve numerosas vulnerabilidades


Se ha publicado una actualización de PHP que resuelve un grave problema de seguridad. PHP es vulnerable a un fallo por el que un atacante remoto podría ejecutar código arbitrario en el sistema afectado.





El código de las funciones htmlspecialchars y htmlentities contienen
un desbordamiento de memoria intermedia. Un usuario remoto podría
proporcionar datos especialmente manipulados a una aplicación que use
las funciones afectadas y, potencialmente, ejecutar código arbitrario.
Para realizar un ataque con éxito el conjunto de caracteres UTF-8 debe
estar activado.

La nueva versión 5.2.0, además, resuelve otros potenciales problemas
de seguridad en la extensión cURL, que podrían servir para eludir las
restricciones de safe_mode y open_basedir. También, y sólo para sistemas
de 64 bits, pueden existir problemas en las funciones str_repeat y
wordwrap que permitan la ejecución de código arbitrario. Por último,
un fallo en la función tempnam permitiría crear ficheros temporales
arbitrarios en cualquier directorio saltándose las restricciones de
open_basedir.

La actualización rompe con la rama 5.1.0 y según php.net, debe ser
aplicada por todos los usuarios tan pronto como sea posible, pues mejora
además problemas de estabilidad y seguridad en general. Tanto la rama
4.x como la 5.x se ven afectadas.

Existe prueba de concepto para la primera y más importante
vulnerabilidad. Debido a que potencialmente este problema podría
suscitar la aparición de gusanos PHP (de los que desafortunadamente
ya existen varios), se recomienda descargar e instalar la versión 5.2.0
desde http://www.php.net/releases/5_2_0.php

Más información:

PHP 5.2.0 Release Announcement
http://www.php.net/releases/5_2_0.php

Fuente
Laboratorio Hispasec
hispasec.com



Otras noticias de interés:

Parche NO oficial para vulnerabilidad en el manejo de URI.
Han pasado varios días desde que se hizo pública la vulnerabilidad en el manejo de los URI, Microsoft aún no ha liberado un parche o corregido este problema que permitiría a un atacante externo ejecutar comandos en nuestro ordenador con solo visi...
MeeGo 1.1 disponible
Los desarrolladores del proyecto MeeGo han anunciado la disponibilidad de MeeGo 1.1, que además ha salido simultáneamente en sus tres ediciones: IVI (para vehículos), Netbook y Handset....
Criptoanálisis del generador aleatorio de Windows
Como era de esperar, el generador de números aleatorios de Windows es el más utilizado del mundo. Sin embargo, y como era también de esperar, su algoritmo nunca ha sido revelado....
Mozilla Firefox, el navegador web del momento.
La pregunta: ¿Por qué Firefox y no Internet Explorer? Por nombrar algunas de las posibilidades que ofrece Firefox y que no ofrece IE, están: En Firefox no existen la cantidad de bugs que posee el catastr&oacu...
Oracle lanza parche de seguridad para Java
El fallo hace que el entorno de ejecución de Java se cuelgue y pueda ser explotado por atacantes de manera remota sin necesidad de autenticación...
Software libre para ciudadanos libres - Entrevista con Richard Stallman
En los últimos años, Stallman dejó de ser un líder indiscutido de la democratización de los programas informáticos y se convirtió en un personaje controvertido a causa de sus lapidarias declaraciones, dado que a la hora del disenso con otros m...
Vulnerabilidad de redes preocupa a empresas
Cloud computing, virtualización o movilidad son algunos de los factores que están influyendo en la reevaluación de las estrategias de seguridad TI de las empresas. Un estudio europeo sobre los retos a los que se enfrentan las empresas en materia d...
Arranque cautivo de Mircosoft viola Derecho de Consumidores
Si bien pocas personas han podido decidir libremente comprar un sistema operativo Windows, la realidad del mercado tecnológico, donde los sistemas operativos de Microsoft vienen instalados de fábrica, hace que la empresa Microsoft haya decidido por...
Redes sociales amenaza para las empresas
Facebook y Twitter ya son parte de la estrategia de muchas empresas. A pesar de los beneficios de éstas para las compañías, también pueden representar una amenaza, por lo que las empresas ya están empezando a aplicar políticas de seguridad para...
Expertos advierten de una vulnerabilidad de amplio alcance en TCP/IP
Investigadores de la firma de seguridad finlandesa Outpost24 aseguran haber descubierto un fallo en el protocolo de Internet (IP) que puede interrumpir el funcionamiento de cualquier ordenador o servidor conectado a la red....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • nueva
  • numerosas
  • opensource
  • pgp
  • php
  • resuelve
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • version
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra