Foros del Web » Programando para Internet » PHP »

vulnerabilidad en PHP?

Estas en el tema de vulnerabilidad en PHP? en el foro de PHP en Foros del Web. Securitytracker anunció que las versiones superiores a la 4.1.2 -a excepción de la 4.3.0- de PHP se encuentran afectadas por un problema de desbordamiento de ...
  #1 (permalink)  
Antiguo 01/01/2003, 16:19
Avatar de sdf23  
Fecha de Ingreso: diciembre-2002
Mensajes: 297
Antigüedad: 15 años
Puntos: 0
vulnerabilidad en PHP?

Securitytracker anunció que las versiones superiores a la 4.1.2 -a excepción de la 4.3.0- de PHP se encuentran afectadas por un problema de desbordamiento de buffer.

La vulnerabilidad tiene su origen en la función Wordwrap(), que se ocupa de realizar el ajuste automático de líneas de texto. En la práctica, un atacante podrá -de forma remota- explotar el mencionado problema para provocar una denegación de servicio sobre el servidor web. Para conseguir su objetivo el usuario malicioso debería introducir un texto en alguna aplicación que utilice la función Wordwrap() para tratar la información.

Según publica Securitytracker, a través de esta vulnerabilidad también sería posible ejecutar código, si bien este tipo de ataque requiere una mayor complejidad.

Ya se encuentra disponible la versión 4.3.0 para corregir este problema.

Lo pueden checar en :

http://www.datafull.com/noticias/notasola.php?cual=2292
  #2 (permalink)  
Antiguo 01/01/2003, 19:16
Avatar de AngelRoyo  
Fecha de Ingreso: marzo-2002
Ubicación: Santiago de Chile
Mensajes: 207
Antigüedad: 15 años, 8 meses
Puntos: 5
La internet esta en un hilo?
Que tan grabe es?
Hay más de 10 millones de servidores con PHP.

Saludos
__________________
Hacerlo Bien Haciendo el Bien.
Jaso ezazu agur bero bat.
(c) 2002. Made in Chile.
Mi sistema es:
Win(98);Apache(1.3.x);PHP(4.1.1);mySQL(3.23.x)
!Califica este POSTEO¡
  #3 (permalink)  
Antiguo 01/01/2003, 20:04
O_O
 
Fecha de Ingreso: enero-2002
Ubicación: Santiago - Chile
Mensajes: 34.417
Antigüedad: 15 años, 11 meses
Puntos: 126
Si miras los "change-log" de PHP veras que hay mil bug que se solventan con cada revision de PHP .. SI hay alguno realemente grave como aquel que no hace mucho apareció .. se solventa el lo antes posible (en ese caso fué el mismo dia).

A mi lo que no me gusta son ese tipo de empresas que se dedican a "capturar" el mas minimo bug de una aplicación que "pueda" representar un fallo de seguridad y realizar el anunicio Alarmante como es este caso ..

Yo mismo nunca he usado esa función .. en bug.php.net en el mensaje que originó el informe del bug .. Los usuarios que reportan dicho bug no se ponen deacuerdo (uno dice que le falla siempre .. otro nunca .. otro un 10% .. etc).

Por su parte PHP en su pagina incial no ha hecho ninguna mención especial a este bug ..

Y .. como dicen ahí mismo . en PHP 4.3.0 ya está solventado el bug .. (tampoco creo q sacasen PHP 4.3.0 por ese error como así parecen decir en el anuncio de dicho bug por parte de esa empresa/organismo).

Que aplicación no tiene bug? Lo ideal es que se solventen rápido y así lo hace la comunidad que trabaja para PHP.

Un saludo,
  #4 (permalink)  
Antiguo 01/01/2003, 20:58
Avatar de SpiceMan  
Fecha de Ingreso: noviembre-2002
Mensajes: 160
Antigüedad: 15 años
Puntos: 0
Cita:
Mensaje Original por Cluster
A mi lo que no me gusta son ese tipo de empresas que se dedican a "capturar" el mas minimo bug de una aplicación que "pueda" representar un fallo de seguridad y realizar el anunicio Alarmante como es este caso ..
¿se supone que la depuración corre por cuenta sólo de los desarrolladores? Es gracias a este tipo de gente con sus miles de usuarios que reportan problemas que se desarrollan cada vez mas rapido, seguro y eficientemente muchos programas, como apache, linux, perl, php, y cientos de applicaciones para los mas diversos propositos.

A mi me parece que es un trabajo excelente.
  #5 (permalink)  
Antiguo 01/01/2003, 21:10
O_O
 
Fecha de Ingreso: enero-2002
Ubicación: Santiago - Chile
Mensajes: 34.417
Antigüedad: 15 años, 11 meses
Puntos: 126
Cita:
¿se supone que la depuración corre por cuenta sólo de los desarrolladores?
Pues no, .. para eso estan los "beta testers" .. que puede ser .. desde tu mismo hasta una empresa como esa.

Lo que no me parece correcto es la mayoria de veces que hacen avisos con un toque de "sensicionalismo" cuando constantemente aparecen Bug y se van solventando sin mayores problemas (avisados por la propia php.net en este caso o esas empresas como ese caso).

Todo esto lo digo .. por el revuelo que está creando .. sobre todo a usuarios que recien empiezan con PHP o lo conocen de "oidas" .. Bien es sabido que queda mas lo "malo" de algo que lo bueno (sobre todo para el que no conce el tema).

Un saludo,
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 01:15.