Actualización de seguridad para PHP


Se ha publicado la versión 5.3.1 de PHP, que corrige seis vulnerabilidades de seguridad en el popular lenguaje, que podrían ser aprovechadas por un atacante remoto para saltarse restricciones de seguridad o provocar denegaciones de servicio.





El primero de los problemas solucionados se debe a que PHP no limitaba el número máximo de subidas de archivo por petición, con la actualización queda limitado a 20 por defecto. Un atacante podría explotar este problema para provocar una denegación de servicio mediante el consumo de archivos temporales.

Un segundo problema está provocado por la ausencia de controles de seguridad en el tratamiento de exif.

Un atacante podría emplear otro de los errores en "tempnam()" para evitar el modo "safe_mode".

Otra de las vulnerabilidades reside en un error en "posix_mkfifo()", que podría permitir evitar las restricciones "open_basedir". También se ha corregido un problema en "safe_mode_include_dir".

El último de los problemas corregidos se debe a un error en popen al manejar un modo no válido, lo que podría provocar una denegación de servicio.

Se recomienda actualizar a PHP versión 5.3.1 disponible en:
http://www.php.net/downloads.php

Más Información:

PHP 5.3.1 Release Announcement
http://www.php.net/releases/5_3_1.php

Fuente:
Antonio Ropero
http://www.hispasec.com



Otras noticias de interés:

Todavía no se han corregido todos los problemas de seguridad en Excel
Aunque el superparche de Microsoft destinado a Excel y publicado bajo el boletín MS06-037 cubría ocho importantes problemas de seguridad, tres de los cuatro fallos descubiertos durante el último mes han quedado sin reparación oficial....
FBI actúa contra los hackers que informaron de fallos de seguridad
El FBI ha iniciado una investigación a la empresa que informó de los fallos de seguridad y logró introducirse en varios miles de ordenadores del gobierno y el ejército de EE.UU....
La herramienta de seguridad MSRT de Microsoft no puede con Zeus
MSRT, herramienta de eliminación de malware gratuita que Microsoft ofrece para sus sistemas operativos no puede combatir las variantes del troyano Zeus, de acuerdo con la firma de seguridad Trusteer. ...
Desarrollan un sistema que mide las emociones ante el ordenador y la TV
Detecta el interés de unas imágenes a partir del movimiento de los ojos del telespectador o cibernauta. La compañía japonesa NTT ha desarrollado una tecnología computacional que, con la ayuda de una cámara de vídeo, es capaz de analizar e inte...
Ejecución de código arbitrario a través de RPC en servidor DNS de Microsoft Windows
Este es un boletín con carácter de urgencia debido a la gravedad del fallo. Se ha encontrado una vulnerabilidad en el sistema DNS de Microsoft Windows que puede ser aprovechada por atacantes remotos para ejecutar código en el sistema. ...
Se inicia el ciclo de conferencias en Linuxpreview este año.
Nuestro de ciclo de conferencias inicia a partir de sábado 5 de febrero con la conferencia The Future of UML dictada por Jeff Dike....
Detectan falsos sitios de ofertas de trabajo con malware
Conscientes de que el número de parados aumenta cada día, los cibercriminales están aprovechando la crisis para centrar sus ataques en páginas web de búsqueda de empleo....
INFEST en la Universidad de Carabobo
Tanto éxito han tenido las anteriores charlas y eventos que hemos organizado para la Universidad de Carabobo que han habilitado para nosotros un espacio INMENSO para hacer un festival de instalación. ...
Sistemas de localización por GPS: ¿Funcionalidad o pérdida de privacidad?
Dentro del mundo de la seguridad física, y aprovechando las diferentes capacidades que nos brinda la tecnología GPS (hasta que dejen de permitirnos la utilización gratuita de los satélites y haya que pagar por ellos), quiero mencionar ciertas apl...
Once boletines de seguridad para Windows y Office
Microsoft planea para octubre, un total de once boletines de seguridad, seis de ellos relacionados con Windows, cuatro con Office, y uno con .NET Framework....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • actualizacion
  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra