Avisos 28 de May, 2012

Vulnerabilitat crítica a PHP per Windows

S'han fet públics detalls sobre una vulnerabilitat existent a la implementació del llenguatge PHP per a plataformes Windows. Aquesta vulnerabilitat permet l'execució remota de codi i està sent explotada activament.

Recursos afectats: PHP 5.4.3 i versions anteriors, plataforma Windows.

Impacte: Execució de codi, denegació de servei i revelació d'informació.

Solució:

Estar pendents del fabricant de la publicació de la nova versió que corregeixi la vulnerabilitat. Es recomana utilitzar els sistemes de gestió de paquets de les principals distribucions, quan estiguin disponibles és possible descarregar els fitxers binaris de la nova versió des de la seva pàgina oficial de PHP.
 Una altra recomanació general és utilitzar el mòdul Suhosin de fortificació de PHP, que incrementa el nivell general de la seguretat dels servidors PHP i dificulta l'explotació d'aquestes i altres vulnerabilitats futures.

Detall: Vulnerabilitat de tipus desbordament de buffer a la funció com_print_typeinfo, que permet l'execució remota de codi mitjançant arguments que son tractats de forma incorrecta pel manegador d'objectes COM de tipus VARIANT.


Refs:

PHP Windows descàrrega online http://windows.php.net/download/

Pàgina d'avís de noves publicació de la nova versió a la pàgina web oficial de PHP, any 2012. http://www.php.net/archive/2012.php

Pàgina del projecte Suhosin http://www.hardened-php.net/suhosin/
 

Publicat a: Avisos
Tags: PHP, Windows