Controlado desde el
19/10/97 por NedStat
|
Alerta: Ejecución arbitraria de código en PHP
|
|
VSantivirus No. 958 - Año 7 - Jueves 20 de febrero de 2003
Alerta: Ejecución arbitraria de código en PHP
http://www.vsantivirus.com/vul-php-430.htm
Alerta: Ejecución arbitraria de código en PHP
Fecha: 18/feb/03
Aplicaciones vulnerables: PHP 4.3.x
Severidad: Crítica
Riesgo: Exposición de datos confidenciales
PHP (Preprocessed Hypertext Page, o Página de Hypertexto Preprocesado), es un popular lenguaje de scripts usado en el desarrollo de páginas Web, que permite que las páginas sean mostradas dinámicamente al usuario, de acuerdo a los datos solicitados por éste, a diferencia del lenguaje HTML, en donde cada página debe estar codificada previamente, lo que da pocas posibilidades de interactuar con el visitante.
Pero la mas poderosa y significativa característica de PHP es su soporte para un gran rango de bases de datos, y su increíble facilidad de uso. De este modo, PHP permite generar una gran variedad de contenidos, logrando de este modo la creación de sitios dinámicos y con gran cantidad de información.
El problema ocurre cuando PHP se ejecuta en modalidad CGI (PHP puede hacer cualquier cosa que un programa CGI pueda hacer, como obtener datos de un formulario, generar páginas con contenido dinámico, enviar y recibir cookies, etc.).
Normalmente, se utiliza un modulo o extensión del propio servidor web para interactuar con el sistema. Pero también es posible ejecutarlo directamente como un CGI.
Cuando esto último ocurre, por razones de seguridad se configura de modo que no pueda ser utilizado en forma directa. Esto se logra con la opción de configuración "enable-force-cgi-redirect" y con la línea "cgi.force_redirect" en PHP.INI.
Una falla en la versión 4.3.0, permite que esta configuración pueda ser cambiada fácilmente, habilitando la ejecución arbitraria de cualquier código a nivel del servidor.
El problema permite a cualquier atacante remoto, acceder a cualquier archivo del sistema utilizando /cgi-bin/php. De ese modo podrá leer cualquier archivo y ejecutar cualquier código PHP.
Esta falla solo afecta la versión 4.3.0
La solución es actualizarse a la versión 4.3.1, que puede ser descargada de esta dirección:
http://www.php.net/downloads.php
Se aconseja instalar esta versión lo antes posible en todos aquellos servidores que utilicen el módulo CGI para ejecutar el código PHP.
Más información:
PHP Security Advisory: CGI vulnerability in PHP version 4.3.0
http://www.php.net/release_4_3_1.php
PHP information about the security implications of PHP CGI:
http://dk.php.net/manual/en/security.cgi-bin.php
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|