Conectiva liberó una actualización para php4. Esta repara varias vulnerabilidades, algunas tienen un impacto desconocido y otras pueden explotarse para ocasionar una negación de servicio (DoS) y posiblemente comprometer un sistema vulnerable.
Conectiva Linux
CLSA-2005:955
Conectiva 9 | PHP | < | 4.3.11 |
Conectiva liberó una actualización para php4. Esta repara varias vulnerabilidades, algunas tienen un impacto desconocido y otras pueden explotarse por personas maliciosas para ocasionar una negación de servicio (DoS) y posiblemente comprometer un sistema vulnerable.
1) Errores dentro de las funciones "php_handle_iff()" y "php_handle_jpeg()", llamadas pr la función de PHP "getimagesize()", puede explotarse para ocasionar ciclos infinitos y consumir los recursos disponibles del CPU vía una imagén maliciosa.
2) Un desbordamiento de variable en la función "exif_process_IFD_TAG()" en "exif.c" en la extensión exif, puede explotarse para ejecutar código arbitrario vía una aplicación que procese etiquetas EXIF de imagenes cargadas.
3) Un error en el procesamiento de datos exif en "exif.c" puede explotarse para causar ciclos infinitos vía una aplicación que procese cabeceras EXIF de imagenes cargadas.
4) Hay varios huecos de seguridad no especificados en la extensión fbsql y en las funciones de PHP "unserialize()" y "swf_definepoly()".
Negación de Servicio (DoS).
Acceso al sistema.
Aplicar la actualización.
SRPM:
php4-4.3.11-72720U10_8cl.src.rpmRPMs:
php4-4.3.11-72720U10_8cl.i386.rpmMayor información.
http://distro.conectiva.com.br/La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT