Detectan dos importantes agujeros de seguridad en PHP
 Secunia informa sobre dos vulnerabilidades en PHP, que pueden ser usadas por intrusos para eludir algunas funciones de seguridad, o para poner en riesgo sistemas inseguros. Las mismas han sido detectadas en la versión 4.3.7 y anteriores hasta la 5.0.0. Por tal motivo los administradores web deberán actualizarlo cuanto antes, sugiere la empresa Secunia.
|
Una de las vulnerabilidades se debe a que la función “strip_tags()” no maneja correctamente algunas tags de HTML, como por ejemplo las denominadas “”. Tal deficiencia puede ser usada para realizar un ataque de tipo “cross-site-script” contra sitios que sólo usen la funcionalidad “strip_tags()” para evitar tales ataques.
Secunia escribe que un tag HTML, como por ejemplo que incluya un carácter binario como “”, no es una entidad HTML válida. Aún así, algunos navegadores, como Internet Explorer y Safari, eliminan tales elementos no válidos y los tratan como entidades HTML correctas. Secunia describe tal situación como “muy desafortunada, aparte de ser una funcionalidad innecesaria”.
La segunda vulnerabilidad se atribuye a diversos errores en la terminación de límite de memoria de PHP, con que el código pone fin a las llamadas, como por ejemplo durante el uso de Zend HashTables. Este error puede ser usado para ejecutar código aleatorio después de haber corrompido el encabezamiento. La vulnerabilidad presupone que está activo la condición “memory_limit”.
Para actualizar el software:
www.php.net
|
