Vulnerabilidad en PHP a través de magic_quotes_gpc


Se ha publicado un fallo en PHP que podría permitir a un atacante remoto eludir el filtrado de las variables de entorno.





PHP incorpora una directiva "magic_quotes_gpc", que se encarga de filtrar las peticiones de GET, POST y Cookie. Esta directiva filtra los caracteres comillas simples, comillas dobles, la barra de path y los nulos.

Fue marcada como "deprecated" (se informa que será borrada) en la versión 5.3.0, pero actualmente se puede seguir usando, aunque no es recomendable porque se eliminará en futuras versiones.

El fallo se produce durante el proceso de importación de las variables de entorno. Estas variables no se ven afectadas por esta directiva, por tanto, se deshabilita durante este proceso. El problema es que esto no se realiza de forma correcta, lo que permitiría a un atacante remoto eludir el filtrado a través de una petición especialmente diseñada.

A esta vulnerabilidad se le ha asignado el identificador CVE-2012-0831.

El fallo se ha solucionado primero para la distribución Ubuntu. Aunque existe un parche oficial que soluciona este error, PHP aún no ha publicado una versión estable que lo solucione.

Más información:

PHP svn:
http://svn.php.net/

Ubuntu Security Notice:
http://www.ubuntu.com/

Fuente:
Víctor Antonio Torre
http://unaaldia.hispasec.com/



Otras noticias de interés:

Debian y Linux dicen no, por el momento, al sistema Anti-spam de Microsoft
La fundación Apache, grupo de desarrollo open Source, ha rechazado apoyar el sistema anti-spam propuesto por Microsoft ( anti-spam Sender ID) al considerar que las condiciones de licencia que se ofrecen son demasiado restrictivas. ...
Código Linux, el comienzo del GNU/Linux
Esta dividido en 6 vídeos, The Code Linux documental producido originalmente en Finlandia. Aunque el documental lleva algunos años ya montado en la red, aún existen personas que incursionan en el mundo GNU/Linux y no lo conocen. En el exponen sus ...
Google contra el phishing
El phishing sigue siendo una de las amenazas más importantes de la red, especialmente para usuarios con pocos conocimientos de seguridad informática. No son pocos los delincuentes que quieren conseguir nuestros datos de servicios online y, si puede...
MAC Spoofing
Puede haber razones muy diversas para decidir camuflar la MAC (es decir, la dirección Ethernet de los dispositivos de red, grabada a fuego en su hardware), pero la forma de lograrlo es muy diferente según el sistema operativo de que se trate......
Potencial ejecución de código en enlaces de Skype
Todas las versiones clientes de Skype anteriores a la 3.8.0.139, son propensas a un error que permite la ejecución remota de código, comprometiendo el sistema del usuario que utilice una versión vulnerable de este software. ...
Fallo de seguridad (local) en los núcleos de Linux anteriores a 2.2.25 y 2.4.21
Detectada una vulnerabilidad en el núcleo del sistema operativo Linux (versiones 2.2.* y 2.4.*) que permite a un usuario local elevar sus privilegios en el sistema, convirtiéndose en root....
Error humano da a los spammers acceso a sistemas de Microsoft
Microsoft ha atribuido a un error humano el que dos ordenadores de su red resultaran hackeados y después utilizados ilícitamente por los spammers para promocionar sitios web de farmacia online de dudosa legitimidad. ...
Listo a jugar!!! World of Warcraft en Linux.
Las buenas noticias son que World of Warcraft (WoW) está completamente soportado por Transgaming. Puede ser que necesites un poco de ayuda con los remiendos y demás, en este sentido el foro de Transgaming es un gran recurso inmejorable. puedes enco...
Keylogger para Android basado en el movimiento del teléfono
Un grupo de investigadores de la Universidad del Estado de Pennsylvania e IBM han desarrollado una prueba de concepto que consiste en un keylogger que obtiene sus datos a partir de los sensores de movimiento presentes en cualquier dispositivo Android...
Google aconseja cómo crear y usar tus contraseñas
El blog oficial de la empresa ha iniciado una serie de artículos acerca de la seguridad en la red de redes en el que comienzan hablando de la creación y gestión de las contraseñas, con consejos prácticos que no está de más tratar de seguir....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • magic_quotes_gpc
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • traves
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidad
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra