Vulnerabilidad en PHP provoca Ataques del tipo DoS, utiliza fallas en el codigo de PHP

1 2 3 4 5 6

Volver a listado de noticias

Últimas Noticias

Wikipedia estará fuera de línea en protesta por ley estadounidense 17-Ene-2012
Hackers difunden malware en sitios de juego para niños 17-Ene-2012
Protege tu cuenta de Facebook del último ataque de intrusión 17-Ene-2012
Revelan nombres de los desarrolladores de Koobface 17-Ene-2012

Vulnerabilidad en PHP provoca Ataques del tipo DoS, utiliza fallas en el codigo de PHP

http://news.earthweb.com 4-Abr-2005

El equipo de desarrollo de PHP ha liberado la actualizacion para las versiones de PHP 4 y 5, las cuales solucionan dos vulnerabilidades que permiten realizar ataques de negacion de servicio.

PHP es un lenguaje utilizado por los desarrolladores de Web. En febrero, un investigador descubrio que dos funciones que manejaban imagenes utilizadas en PHP 4 y 5 pueden ser manipuladas para crear ciclos infinitos en el programa.

El ciclo infinito en turno consume 100% del CPU y logra dar de baja el sistema. Ambas vulnerabilidades requieren que el atacante cargue la imagen maliciosa a la rutina getimagesize(), tal vulnerabilidad afecta a las versiones 4.2.2, 4.3.9, 4.3.10 y 5.0.3. La rutina es utilizada para determinar el tamaño y las dimensiones de la imagen, ademas del formato (GIF, JPEG y TIFF).

Estan en riesgo los sitios que ejecuten PHP y que permitan a los usuarios cargar imagenes al servidor Web. Michael Sutton, director de iDefense Labs, dijo que las vulnerabilidades no son consideradas como criticas debido a que solamente dan de baja del sistema; los bugs no permiten a los atacantes tomar el control del servidor Web.

Se considera significativa la vulnerabilidad si el servidor Web se de da baja y niega el acceso a las personas, lo que no la hace critica es que no se puede ejecutar cualquier codigo en el servidor.

El personal de iDefense dijo que no existen opciones para la vulnerabilidad en este momento, a menos de obtener y actualizar el codigo PHP. El personal de mantenimiento del sitio Web PHP.net dijeron que los desarrolladores estan trabajando para actualizar 4.3.11 y 5.0.4.

El bug php_handle_iff() es causado cuando el tamaño user-defined file-stream son puestas en un valor negativo, por ejemplo 8 y -8.

Las validaciones insuficientes de las cabeceras del archivo de la imagen JPEG permiten activar la vulnerabilidad en la uncion php_handle_jpeg(). La vulnerabilidad puede ser explotada si un marcador invalido es enviado en la cadena a traves de la funcion php_next_marker(), causando que la funcion apunte a dos bytes del archivo cuando este es regresado al ciclo de php_handle_jpeg().

Para obtener PHP 4.3.11 y 5.0.4 se puede obtener del sitio PHP.net

Fuente: http://news.earthweb.com SAL/

Volver a listado de noticias