Salto de restricciones en PHP 4.x y 5.x


Se ha encontrado una vulnerabilidad en PHP que puede ser aprovechada por atacantes para elevar privilegios.





El fallo se debe a un error en la función interna array_user_key_compare donde las claves de referencia son destruidas incorrectamente. Esto puede ser aprovechado para provocar corrupción en memoria y permitir la
ejecución de código arbitrario, lo que llevaría a eludir restricciones de seguridad tales como disable_functions.

Se aconseja permitir sólo ejecución de código PHP a usuarios confiables.

Más Información:

MOPB-24-2007:PHP array_user_key_compare() Double DTOR Vulnerability
http://www.php-security.org/MOPB/MOPB-24-2007.html

Fuente:

Laboratorio Hispasec
http://www.hispasec.com



Otras noticias de interés:

La relación de matrix con las empresas del mundo real
Repetimos es solamente ficción.. aunque parezca real 1. Ud. necesita hacer "reload" cada cierto tiempo 2. El 0,1% del código no es comprendido, pero es capaz de comprometer al 99% restante para q...
Adobe publica cinco boletines de seguridad
Adobe ha publicado cinco boletines de seguridad (del APSB11-19 al APSB11-23) para tratar problemas en Adobe Shockwave Player, Flash Media Server, Flash Player, Photoshop CS5 y RoboHelp. En total se han corregido 23 vulnerabilidades....
Microsoft niega responsabilidades en ataques masivos
En una entrada del blog del equipo de seguridad del centro de respuestas de Microsoft, la compañía niega que los recientes ataques de inyección de código SQL que han permitido que miles de sitios se conviertan en potenciales peligros de infecció...
Splogs - La basura inunda la blogosfera
Son la nueva y, por desgracia, emergente forma de basura: los splogs (spam + blogs) están inundando la blogosfera. ...
Nueva versión de Apache TOMCAT
Las versiones de Apache TOMCAT previas a la 4.0.5 o 4.1.12 son susceptibles a una vulnerabilidad mediante la cual un atacante puede obtener el código fuente de una página JSP....
Recomendaciones para redactar mensajes
Esta sugerencia fue enviada por y para una de las lista de correo a la cual estoy suscrito (WEB-AR) del grupos Yahoo. Y quisiera compartirla con todos ustedes, para que de esta forma mejoremos la forma de enviar un email a una lista de correos....
IBM crea tecnología para hacer cálculos con datos encriptados
IBM ha dado a conocer que uno de sus investigadores ha hecho posible que los ordenadores puedan hacer cálculos con datos encriptados sin necesidad de descifrarlos....
Oracle elegirá a Mozilla como cliente para aplicaciones
Oracle tiene planes de estandarizar el navegador Mozilla como cliente para todas sus aplicaciones para redes....
Hackeado sandbox de Adobe Flash
Una investigación de seguridad llevada a cabo por parte de Microsoft ha descubierto la manera de eludir la tecnología sandbox, que implantó Adobe en Flash Player para proteger el software contra ataques externos....
Descarga y ejecución automática de archivos en Internet Explorer
Se ha detectado una vulnerabilidad en Internet Explorer 6, que puede ser empleada para evitar las restricciones de seguridad del navegador y comprometer el sistema. ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • restricciones
  • sabayon
  • salto
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra