Ubuntu liberó actualizaciones para libapache2-mod-php4 and php4-cgi. Estas reparan varias vulnerabilidades que pueden explotarse para ocasionar una negación de servicio (DoS) y posiblemente comprometer un sistema vulnerable.
Ubuntu Security Notice
USN-112-1
Ubuntu Linux 4.10 | libapache2-mod-php4 | < | 4:4.3.8-3ubuntu7.8 |
Ubuntu Linux 4.10 | php4-cgi | < | 4:4.3.8-3ubuntu7.8 |
Ubuntu liberó actualizaciones para libapache2-mod-php4 y php4-cgi. Estas reparan varias vulnerabilidades que pueden explotarse por personas maliciosas para ocasionar una negación de servicio (DoS) y posiblemente comprometer un sistema vulnerable.
Se encontró un desbordamiento de variable (integer overflow) en la función exif_process_IFD_TAG() en el modulo EXIF de PHP4. Las cabeceras EXIF con una etiqueta "Image File Directory" (IFD) maliciosa puede ocasionar un desbordamiento de memoria el cual puede explotarse para ejecutar código arbitrario con los privilegios del servidor PHP4. (CAN-2005-1042)
Dicho modulo también contiene una vulnerabilidad de negación de servicio. Las cabeceras EXIF con un nivel de anidamiento extenso de IFD ocasiona una recursión ilimitada lo que eventualmente desbordara la pila y llevara a la caída de la aplicación.(CAN-2005-1043)
En aplicaciones Web que procesan automáticamente etiquetas EXIF o que cargan imagenes, ambas vulnerabilidades pueden explotarse remotamente
Negación de servicio(DoS).
Acceso remoto al sistema.
El problema se corrige al actualizar los paquetes afectados a la versión 4:4.3.8-3ubuntu7.8. Después de realizar la actualización estándar del sistema es necesario recargar el modulo PHP en el servidor Web, ejecutando
sudo /etc/init.d/apache2 reload
Para que los cambios tomen efecto.
Mayor información.
http://www.ubuntulinux.org/La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT