PDA

Ver la versión completa : Múltiples vulnerabilidades en PHP 5.2.x



LUK
18-11-2007, 18:04
Se han encontrado múltiples vulnerabilidades en PHP 5.2.x, algunas de ellas son de impacto desconocido y otras podrían ser explotadas por un atacante remoto para saltarse ciertas restricciones de seguridad.

* Una vulnerabilidad está causada por un error en el manejo de variables y podría ser explotada por un atacante remoto para sobrescribir valores en httpd.conf por medio de la función ini_set().

* La segunda vulnerabilidad está causada por un error al procesar archivos .htaccess y podría ser explotada por un atacante remoto para saltarse la directiva disable_functions si modifica la directiva php.ini mail.force_extra_parameters por medio de un archivo .htaccess.

* Otra vulnerabilidad está causada por varios errores de límite en las funciones fnmatch(), setlocale(), y glob() que podrían ser explotados por un atacante remoto para provocar desbordamientos de búfer.

* La última vulnerabilidad está causada por varios errores en las funciones htmlentities y htmlspecialchars que no aceptan secuencias multibyte parciales.

Se recomienda a actualizar a la versión 5.2.5 disponible desde:
http://www.php.net/downloads.php



Más Información:

PHP 5.2.5 Release Announcement
http://www.php.net/releases/5_2_5.php

Fuente: Hispasec

saltamontes
19-11-2007, 17:29
Mira hace poco estoy aprendiendo como usar el .htaccess, pero no entiendo bn a lo que se refiere esa vunerabilidad. ?¿podrias explicarla mejor?¿

Gracias

clarinetista
19-11-2007, 23:15
El error no es del htaccess sino del PHP en si al procesar este tipo de archivos.
Esto ocurre al configurar el PHP como modulo de Apache,y al implementar los archivos de seguridad como httpd.conf.
Cuando apache debe devolver una página web, en primera instancia lee el archivo httpd.conf, y en segunda instancia el archivo .htaccess.
El problema surge en la potencia de este par que nos permite variar los parámetros de configuración del PHP, sobretodo varias directivas peligrosas como "AllowOverride".

Información sobre las directivas de Apache:

http://httpd.apache.org/docs/2.0/mod/directives.html

saltamontes
20-11-2007, 15:38
Me queda un poco mas claro, no mucho, pero creo q me orientas para saber de que se trata esto.
Google sabe mucho, y hay que preguntar cosas especificas o si no, da tanta info q me enredo.:)

Eso gracias .