Foros del Web » Programando para Internet » PHP »

Error de seguridad en todas las versiones de PHP

Estas en el tema de Error de seguridad en todas las versiones de PHP en el foro de PHP en Foros del Web. Bueno, no es para alarmarse con el titulo, pero en verdad visitando php.net lei que se descubrio un error en el Upload de archivos, que ...
  #1 (permalink)  
Antiguo 01/03/2002, 00:18
Nok
 
Fecha de Ingreso: abril-2001
Mensajes: 302
Antigüedad: 16 años, 7 meses
Puntos: 0
Error de seguridad en todas las versiones de PHP

Bueno, no es para alarmarse con el titulo, pero en verdad visitando php.net lei que se descubrio un error en el Upload de archivos, que permite a los atacantes ejecutar cualquier codigo arbritario . Por lo poco que lei, no es necesario tener un script que realice un upload, para que se produzca el problema. Por lo que les recomendaria que, si pueden, pidan a sus proveedores que actualicen la version de php o corrijan el error en este, corriendole el patch. Tambien seria bueno que actualicen sus versiones "Hogareñas".

Bueno este mensaje es solo para ponerlos en alerta.
Para mas informacion visiten php.net o este enlace<a href='ir.asp?http://security.e-matters.de/advisories/012002.html' target='_blank'>http://security.e-matters.de/advisories/...</a>

Saludos!

<font face=Verdana size=2 color=#006699>Nok;)<br>Juan Pablo Winiarczyk<br>Neuquen - Patagonia Argentina[/CODE]
  #2 (permalink)  
Antiguo 01/03/2002, 07:05
O_O
 
Fecha de Ingreso: enero-2002
Ubicación: Santiago - Chile
Mensajes: 34.417
Antigüedad: 15 años, 11 meses
Puntos: 126
Re: Error de seguridad en todas las versiones de PHP

Supongo que este error afectara tambien a las compilaciones de PHP para windows.

En tal caso, .. el parche de php.net al respecto esta en codigo fuente C .. y en consecuencia no hara efecto en entornos windows (esto lo digo por si algun winuser lo ver y no sabia ..)

Se sabe algo si actualizaran el binario de PHP para windows con dicho parche?.

Un saludo,
  #3 (permalink)  
Antiguo 01/03/2002, 10:32
 
Fecha de Ingreso: julio-2001
Mensajes: 21
Antigüedad: 16 años, 5 meses
Puntos: 0
Re: Error de seguridad en todas las versiones de PHP

Me pregunto si sólo funciona cuando la pagina utiliza la función php_mime_split o cuando se hace un upload cualquiera.


<a href='ir.asp?http://www.eweek.com/article/0,3658,s=1884&amp;a=23361,00.asp' target='_blank'>http://www.eweek.com/article/0,3658,s=18...</a>
  #4 (permalink)  
Antiguo 01/03/2002, 11:09
Nok
 
Fecha de Ingreso: abril-2001
Mensajes: 302
Antigüedad: 16 años, 7 meses
Puntos: 0
Re: Error de seguridad en todas las versiones de PHP

Bien, segun entendí, no es necesario usar el upload en tus script, simplemente con algun script php eres vulnerable.

Saludos!

<font face=Verdana size=2 color=#006699>Nok;)<br>Juan Pablo Winiarczyk<br>Neuquen - Patagonia Argentina[/CODE]
  #5 (permalink)  
Antiguo 01/03/2002, 11:53
Avatar de Slayer_X
Colaborador
 
Fecha de Ingreso: mayo-2001
Ubicación: Lima
Mensajes: 865
Antigüedad: 16 años, 7 meses
Puntos: 1
Re: Error de seguridad en todas las versiones de PHP

Holas,

No se alarmen, el problema no es tan grave, lo que pasa es q mucha prensa informatica sensacionalista trata de magnificar el problema.

La vulnerabilidad solo nos afectara si usamos upload de archivos con la clase php_mime_split, quiere decir que si la desactivamos en nuestos php.ini, asunto arreglado.

Por otro lado, nosotros siempre verificamos la longitud de las cadenas cuando recogemos los inputs verdad??? asi que.... porque se preocupan??? ;)

Saludos

(o> Cesar Villegas Ureta

// "Slayer_X"

V_/_ IRC Undernet #Arequipa #LinuxLatino #Metal

-----BEGIN GEEK CODE BLOCK Version: 3.1-----

GCS d- s+:+ a- C++ UL+++$ P+ L++ E-- W+++ N+ o? K? w+(---)

O? M+ V- PS+ !PE Y+ PGP++ t-- !5 X++ R tv+
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 01:53.