Las versiones no actualizadas de PHP son susceptibles a un ataque
remoto que permite la ejecución de código arbitrario en el servidor.
PHP (PHP: Hypertext Preprocessor) es un popular lenguaje de scripting
de propósito general, idóneo para el desarrollo web al ser posible su
integración dentro del HTML. Se trata de un proyecto de código abierto
muy utilizado para la confección de páginas web dinámicas (gracias a la
capacidad de lanzar consultas a bases de datos).
Las versiones de PHP anteriores a la 4.3.8 permiten que un atacante
remoto ejecute código arbitrario en el servidor mediante una petición
HTTP cuidadosamente planificada.
Otra vulnerabilidad, solucionada en esta actualización, permite realizar
inyecciones de código XSS (Cross Site Scripting) que afectan a los
clientes que utilicen Internet Explorer o el navegador «Safari» de Apple.
La actualización elimina otras vulnerabilidades menores.
Se recomienda a los administradores de sistemas PHP que actualicen
cuanto antes a la versión 4.8.3, o que migren a la nueva versión 5.0.
jcea@hispasec.com
Más información:
MDKSA-2004:068 – Updated php packages fix multiple vulnerabilities
http://www.securityfocus.com/archive/1/368924
[ GLSA 200407-13 ] PHP: Multiple security vulnerabilities
http://www.securityfocus.com/archive/1/368925
PHP memory_limit remote vulnerability
http://security.e-matters.de/advisories/112004.html
PHP 4.3.8 Release Announcement
http://www.php.net/release_4_3_8.php
PHP: Hypertext Preprocessor
http://www.php.net/
