Corrigen dos agujeros de seguridad en PHP

La compañía de seguridad informática Secunia sugiere a los operadores de sitios web que usan el lenguaje de programación PHP actualizar su instalación a la mayor brevedad.

SANTIAGO: En concreto, Secunia informa sobre dos vulnerabilidades en PHP, que pueden ser usadas por intrusos para eludir algunas funciones de seguridad, o para poner en riesgo sistemas inseguros.

Una de las vulnerabilidades se debe a que la función “strip_tags()” no maneja correctamente algunas tags de HTML, como por ejemplo las denominadas “”. Tal deficiencia puede ser usada para realizar un ataque de tipo “cross-site-script” contra sitios que sólo usen la funcionalidad “strip_tags()” para evitar tales ataques.

Secunia escribe que un tag HTML, como por ejemplo que incluya un carácter binario como “”, no es una entidad HTML válida. Aún así, algunos navegadores, como Internet Explorer y Safari, eliminan tales elementos no válidos y los tratan como entidades HTML correctas. Secunia describe tal situación como “muy desafortunada, aparte de ser una funcionalidad innecesaria”.

La segunda vulnerabilidad se atribuye a diversos errores en la terminación de límite de memoria de PHP, con que el código pone fin a las llamadas, como por ejemplo durante el uso de Zend HashTables. Este error puede ser usado para ejecutar código aleatorio después de haber corrompido el encabezamiento. La vulnerabilidad presupone que está activo la condición “memory_limit”.

Ambas vulnerabilidades han sido detectadas en la versión 4.3.7 y anteriores, como asimismo en las ediciones beta de la versión 5.0.0.

La actualización de seguridad está disponible desde el sitio de PHP.net.


Únase a la conversación

Contacto | Diario TI es una publicación de MPA Publishing International Ltd., Reino Unido. © Copyright 1997-2022