quinta-feira, dezembro 23, 2004

Multiplas vulnerabilidades no PHP 4.3.9 e 5.0.2




Fonte:


O CAIS está repassando o alerta do Projeto PHP-Hardened, intitulado "Multiple vulnerabilities within PHP 4/5", que trata de uma série de vulnerabilidades recém-descobertas na linguagem de scripts PHP.

PHP é uma linguagem de scripts de uso geral amplamente utilizada, especialmente adequada para o desenvolvimento Web e que pode ser embutida em HTML. Pode ser instalado em diversos servidores Web, como por exemplo o Apache e o IIS.

As sete vulnerabilidades encontradas podem permitir que um atacante execute código arbitrário local e remotamente. As descobertas foram feitas durante o desenvolvimento do Hardened-PHP, um projeto paralelo ao PHP que visa reforçar a segurança desta linguagem por meio de patches.

O CAIS observou nos últimos meses um aumento considerável no número de sistemas comprometidos através da exploração de vulnerabilidades de PHP, seja na linguagem propriamente dita ou em sistemas de gerenciamento de conteúdo (CMS), notadamente PHP-Nuke. Gostaríamos de trazer atenção aos seguintes pontos:

A necessidade de se atualizar PHP tão logo seja lançada uma nova versão. Recomendamos que se assine a lista "Announcements" por meio do seguinte URL:

PHP - Mailing Lists

   http://www.php.net/mailing-lists.php


É importante também que se mantenham atualizados sistemas baseados em PHP, tais como PHP-Nuke e outros CMS similares.

Siga as orientações de segurança do próprio manual do PHP:

Manual do PHP - Capítulo 16 - Segurança

   http://www.php.net/manual/pt_BR/security.index.php


Considerar a aplicação dos patches fornecidos pelo projeto Hardened-PHP, disponíveis em:

Hardened-PHP

   http://www.hardened-php.net/


Programação segura: desabilitar o parametro "register_globals" para assegurar e encorajar a validação adeqüada de variáveis. Outras medidas de segurança importantes sao descritas por Johannes Ullrich no ISC Handler's Diary de 17/12 (consulte a seção "Mais informações").

Sistemas Afetados:

   PHP4 - versão 4.3.9 e anteriores
   PHP5 - versão 5.0.2 e anteriores

Correções disponíveis:

Recomenda-se fazer a atualização para as versões disponíveis em:

   PHP 4.3.10
   PHP 5.0.3

Mais informações:

   Hardened-PHP Project - Multiple vulnerabilities within PHP 4/5
   PHP 4.3.10 Release Announcement
   ISC - Handler's Diary December 17th 2004 - PHP Vulnerabilities
   ISC - Handler's Diary December 20th 2004 - phpBB Worm



Identificador CVE: CAN-2004-1018, CAN-2004-1019 CAN-2004-1020, CAN-2004-1063, CAN-2004-1064 e CAN-2004-1065


O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.

Os Alertas do CAIS também são oferecidos no formato RSS/RDF :
http://www.rnp.br/cais/alertas/rss.xml

Nenhum comentário:

Postar um comentário

Aúncio