1 2 3 4 5 6

Últimas noticias

PHP corrige errores de OpenSSL en nuevas versiones

Threatpost 30-Jun-2014

PHP lanzó nuevas versiones donde se han corregijo varios errores, incluyendo dos en OpenSSL. Los errores de OpenSSL no son tan drásticos como lo ha sido Heartbleed en los últimos meses.

PHP 5.5.14 y 5.4.30 contienen correcciones para ambas vulnerabilidades, las cuales manejaban las marcas de tiempo en OpenSSL en algunos certificados.

Para la primera vulnerabilidad el informe dice:

"Este código es la parte de un programa de análisis UTCTime, donde se dezplaza 2 posiciones a la izquierd, y convierte esos dos caracteres a una variable de tipo entero. Sin embargo, certificados con una validez posterior al año 2050 manejan marcas de tiempo con un formato que permite 4 caracteres en el campo de año en lugar de 2" .

La segunda vulnerabilidad OpenSSL radica en la forma en que PHP maneja ciertos tipos de datos para las marcas de tiempo. Un certificado especialmente diseñado puede provocar errores. 
 
En cuanto al informe de la segunda vulnerabilidad indica que: "Si un certificado se ha generado por un servidor de Windows 2003. Teniendo en cuenta el campo de valid to  es '21 de junio 2109 15:59:11 GMT' . PHP utiliza  openssl.c para comprobar el V_ASN1_UTCTIME, pero se activa la alerta cuando comprueba el campo V_ASN1_GENERALIZEDTIME. De acuerdo con una breve búsqueda de la fuente de openssl ambas son expresiones válidas de  valid to o valid from".
 
Se corrigierón otros problemas de PHP además de estas dos vulnerabilidades de OpenSSL, pero muchos no están relacionados con seguridad.
Fuente: Threatpost MB

Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT