You Are Reading

.

Compartelo:
0

Actualización de PHP, rápida pero inadecuada

Jesus Bourne 16 de mayo de 2012

Las actualizaciones de las versiones 5.3.12 y 5.4.2 de PHP, liberadas el jueves pasado, no resuelven la vulnerabilidad que fue accidentalmente expuesta en Reddit, según quien identificó la falla.

El error en la forma en que el CGI y PHP interactúan uno con el otro conduce a la situación en que los atacantes pueden ejecutar códigos en los servidores afectados. El problema permaneció desconocido durante 8 años.

La mejor protección hasta ahora, es ofrecida mediante el establecimiento de reglas de filtrado en el servidor web. Sin embargo, la RewriteRule que soluciona el problema descrito en PHP.net es también inadecuada, de acuerdo con el experto en seguridad Christopher Kunz. Él sugiere una ligera modificación a la regla como alternativa.

Debido a que el intérprete de PHP en modo CGI no sigue las especificaciones de un CGI estandar, los parámetros de la URL pueden, bajo ciertas circunstancias, ser pasados a PHP como argumentos de línea de comandos.

Los servidores que ejecutan PHP en modo CGI son afectados mientras que instalaciones de PHP FastCGI no. Supuestamente, el parche de PHP debe garantizar que las cadenas de los parámetros que comienzan con un signo de menos y que no contienen un signo de igual sean ignoradas.

De acuerdo con quien descubrió la vulnerabilidad, esto puede ser evitado fácilmente. Un parche nuevo y ligeramente modificado que utiliza query_string en lugar de decoded_query_string para una comparación, ya ha sido presentado en el sistema de seguimiento de fallos.

Los usuarios pueden determinar si están afectados por la vulnerabilidad añadiendo la cadena ?-s a la URL. Si el servidor devuelve código fuente PHP, una acción rápida es necesaria. Un módulo de Metasploit que abre un shell remoto para ejecutar código arbitrario en los servidores vulnerables ya está disponible.



Fuente: The H Security 

0 comentarios:

.

Compartelo:
 
Copyright 2010 SI3H-C5IRT