Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Vulnerabilidades / Vulnerabilidad en PHP a través de magic_quotes_gpc

Vulnerabilidad en PHP a través de magic_quotes_gpc

Por 1 comentario

Se ha publicado un fallo en PHP que podría permitir a un atacante remoto eludir el filtrado de las variables de entorno.

PHP incorpora una directiva ‘magic_quotes_gpc‘, que se encarga de filtrar las peticiones de GET, POST y Cookie. Esta directiva filtra los caracteres comillas simples, comillas dobles, la barra de path y los nulos.

Fue marcada como «deprecated» (se informa que será borrada) en la versión 5.3.0, pero actualmente se puede seguir usando, aunque no es recomendable porque se eliminaráen futuras versiones.

El fallo se produce durante el proceso de importación de las variables de entorno. Estas variables no se ven afectadas por esta directiva, por tanto, se deshabilita durante este proceso. El problema es que esto no se realiza de forma correcta, lo que permitiría a un atacante remoto eludir el filtrado a través de una petición especialmente diseñada.

A esta vulnerabilidad se le ha asignado el identificador CVE-2012-0831.

El fallo se ha solucionado primero para la distribución Ubuntu. Aunque existe un parche oficial que soluciona este error, PHP aún no ha publicado una versión estable que lo solucione.


Más información:

PHP svn:
http://svn.php.net/viewvc?view=revision&revision=323016

Ubuntu Security Notice:
http://www.ubuntu.com/usn/USN-1358-1

Víctor Antonio Torre

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

Interacciones con los lectores

Comentarios

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.