Grave Vulnerabilidad Conseguida en PHP


HP en sus versiones 4.2.0 y 4.2.1 se ve afectado por una grave vulnerabilidad que puede permitir a un atacante la posibilidad de provocar una denegación de servicios en el servidor web o llegar a lograr la ejecución de código arbitrario.





Esta nueva vulnerabilidad afecta al lenguaje PHP, el sistema para la creación de páginas dinámicas más extendido bajo plataforma Unix. La vulnerabilidad reside en la porción de código responsable del tratamiento de envíos de archivos, específicamente multipart/form-data.

Si un atacante envía una petición POST específicamente creada al servidor podrá degradar las estructuras de datos internas empleadas por PHP. Específicamente un intruso podrá lograr que una estructura de memoria inicializada inadecuadamente sea liberada. En la mayoría de los casos, el atacante podrá emplear la vulnerabilidad para provocar la caída del intérprete PHP o del servidor web. Sin embargo, en determinadas circunstancias el atacante podrá emplear la vulnerabilidad para ejecutar código en el servidor (con los privilegios del servidor web).

Se recomienda la actualización a PHP 4.2.2 disponible en http://www.php.net/downloads.php.

Más información:

CERT® Advisory CA-2002-21 Vulnerability in PHP
http://www.cert.org/advisories/CA-2002-21.html

e-matters. PHP remote vulnerability
http://security.e-matters.de/advisories/022002.html

PHP Security Advisory: Vulnerability in PHP versions 4.2.0 and 4.2.1
http://www.php.net/release_4_2_2.php


Otras noticias de interés:

Privacidad, la nueva batalla en Internet
En la discusión por el uso de datos personales está en juego dinero proveniente de la publicidad; las firmas tienen el reto de convencer a los consumidores de los beneficios de compartir sus datos....
El nuevo gusano Bagle.A (W32/Bagle.A.worm)
El nuevo gusano Bagle.A (W32/Bagle.A.worm) está comenzando a propagarse. Según los datos recogidos por la red internacional de servicio de Soporte de diefrentes casas de AntiVirus, está provocando cada vez más incidencias entre los equipos de u...
Exploit contra el Microsoft IIS
Exploit publicado en frsirt.com que ataca el Internet Information Server (ISS) usando HTTP mal formados causando una denegación de servivios, realizado por ATmaCA, Inge Henriksen del sitio web spyinstructors.com....
INFORMACIÓN
Debido a que el exploit remoto usado para la incursión lo colocamos hoy (23/01/2003) en nuestro propio server y estaban conex un número bastante significativo de usuarios, aunado a eso recibimos tambien ataques DoS, por lo que el Ancho de Banda dis...
Publicada TuxInfo No.15
Ya está disponible para su descarga el número 15 de TuxInfo, excelente revista electronica basada en software libre, en esta oportunidad comentan:...
Nueva vulnerabilidad afecta por igual a Explorer y Firefox
Una nueva falla de seguridad fue encontrada en los dos exploradores de internet más utilizados: Internet Explorer y Firefox, posibilitándole a un atacante robar información de la computadora de la víctima....
Microsoft anuncia doce boletines de seguridad para el próximo martes 13 de junio
Como parte de su ciclo mensual de liberación de actualizaciones de seguridad, Microsoft anunció que el próximo martes 13 de junio publicará 12 boletines, la mayoría críticos....
Microsoft quiere convertir los formatos de documentos de Office en estándares
En un movimiento que puede originar una guerra de formatos con sus rivales, Microsoft ha anunciado su intención de abrir los formatos de documentos Word, Excel y PowerPoint y convertirlos en estándares. ...
BlackHole RAT, un troyano para Mac
BlackHole RAT es el nombre con el que se conoce un troyano para Mac que, según la empresa de seguridad Sophos, es muy sencillo de utilizar, aunque aún no se tiene constancia de ningún ataque....
Múltiples vulnerabilidades en PHP 4.4.x y 5.2.x
Se han descubierto múltiples vulnerabilidades en PHP de las cuales algunas tienen un impacto desconocido y otras podrían ser aprovechadas por un atacante para obtener acceso a información importante, manipular datos, eludir restricciones de ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • conseguida
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • grave
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidad
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra