Las versiones de PHP4 previas a la 4.0.4pl1 tienen varios problemas de
seguridad que permiten la ejecución de código PHP con configuraciones
diferentes a las definidas por el administrador.
PHP es un lenguaje de «scripting» muy popular en el mundo UNIX (también
existe para Windows), utilizado sobre todo para la generación de
contenidos dinámicos en servidores web (especialmente Apache), de forma
similar al ASP de Microsoft.
Las versiones de PHP4 previas a la 4.0.4pl1 tienen los siguientes
problemas de seguridad:
* Un atacante remoto puede realizar una petición web especialmente
formateada, que le permite ejecutar código PHP presente en el
servidor, pero con una configuración «alterada» y no coincidente
con la configuración establecida por el administrador.
* Bajo ciertas circunstancias, un atacante puede lograr que el servidor
web le proporciones el código fuente de una página PHP, en vez
del resultado de su ejecución.
La recomendación es actualizar las instalaciones de PHP4 a 4.0.4pl1 o
superior.
Las instalaciones que utilizan PHP3 no son vulnerables a estos ataques.
jcea@hispasec.com
Más información:
Deja un comentario