Múltiples vulnerabilidades en PHP provocan ataques DoSSe han detectado múltiples vulnerabilidades en PHP, el lenguaje ampliamente utilizado por desarrolladores de sitios Web.
Para solucionarlo, se han publicado recientemente actualizaciones para las versiones 4 y 5 de PHP, las que corrigen al menos dos graves vulnerabilidades que pueden permitir que un atacante lleve a cabo ataques de denegación de servicio (DoS).
Los problemas están relacionados con dos funciones que manejan imágenes, y que pueden ser empleadas maliciosamente para que el programa caiga en un ciclo sin fin hasta agotar el 100 % de los recursos del procesador, haciendo que todo el sistema deje de responder.
Una de las funciones afectadas, "getimagesize()", puede ser explotada por un atacante mediante una imagen creada maliciosamente. Esta función es utilizada para determinar el tamaño y formato de una imagen GIF, JPEG o TIFF. El fallo se debe a una incorrecta validación de las cabeceras de los archivos involucrados.
Están afectadas las versiones 4.2.2, 4.3.9, 4.3.10 y 5.0.3.
El problema pone en riesgo aquellos sitios que ejecuten PHP y que además permitan que los usuarios puedan cargar imágenes en el servidor. Si bien el sitio puede quedar fuera de línea después de un ataque de este tipo, estos fallos no permiten la ejecución remota de código, ni que el atacante pueda llegar a tomar el control del servidor.
La solución es actualizar las versiones de PHP que se tengan instaladas, por las recientemente publicadas (4.3.11 y 5.0.4), desde el siguiente enlace:
http://www.php.net/downloadsLa actualización 4.3.11 corrige otras vulnerabilidades menos graves.
Relacionados:
PHP 4.3.11 Release Announcement
http://www.php.net/release_4_3_11.phpPublicado en:
http://www.vsantivirus.com/vul-php-030405.htmPublicado en:
http://www.vsantivirus.com/vul-php-030405.htm
