|
Título: pregunta sobre PHP 5.2 <02/05/14 múltiples vulnerabilidades Publicado por: cebs en 31 Agosto 2011, 20:07 pm Hola wenas tardes analizando my web encontre un error que riesgos ai? Gracias
Aver si alguien me pudiera ayudar porfavor PHP 5.2 <02/05/14 múltiples vulnerabilidades Sinopsis: El servidor web remoto utiliza una versión de PHP que se ve afectada por múltiples fallas. Descripción: De acuerdo con su bandera, la versión de PHP 5.2 instalado en el host remoto es mayor que 5.2.14. Dichas versiones pueden verse afectadas por varios problemas de seguridad: - Existe un error al procesar no válida XML-RPC peticiones que pueden conducir a un puntero NULL eliminación de referencias. (Bug # 51 288) (CVE-2010-0397) - Existe un error en "fnmatch" la función que pueden llevar a la pila de agotamiento. - Existe un error en la extensión SQLite que podría permitir el acceso de memoria arbitraria. - Un error de corrupción de memoria en la función "Substr_replace. - Las siguientes funciones no están adecuadamente protegidos contra las interrupciones de la función: addcslashes, chunk_split, html_entity_decode, iconv_mime_decode, iconv_substr, iconv_mime_encode, htmlentities, htmlspecialchars, str_getcsv, http_build_query, strpbrk, strstr, str_pad, str_word_count, ajuste de línea, strtok, setcookie, strip_tags, recortar, LTrim, RTrim parse_str, empaquetar, desempaquetar, uasort, preg_match, strrchr, strchr, substr, str_repeat (CVE-2010-1860, CVE-2010-1862, CVE-2010-1864, CVE-2010-2097, CVE-2010-2100, CVE-2010-2101, CVE-2010-2190, CVE-2010-2191, CVE-2010-2484) - Los códigos de operación siguientes no están debidamente protegidos contra las interrupciones de la función: ZEND_CONCAT, ZEND_ASSIGN_CONCAT, ZEND_FETCH_RW (CVE-2010-2191) - El serializador de sesión por defecto contiene un error que puede ser explotado en la asignación de la sesión variables que tienen nombres definidos por el usuario. Arbitrario Los valores en serie pueden ser inyectados en las sesiones de incluyendo el PS_UNDEF_MARKER, '!', personaje de nombres de las variables. - Un error de uso después de liberación en la función "Spl_object_storage_attach. (CVE-2010-2225) - Existe una vulnerabilidad de divulgación de información en el la función 'var_export "el manejo de cierto error condiciones. (CVE-2010-2531) Ver también: http://www.php.net/releases/5_2_14.php http://www.php.net/ChangeLog-5.php # 02/05/14 Solución: Actualizar a la versión de PHP 5.2.14 o posterior. Factor de riesgo: Alta / CVSS Base Score: 7.5 (CVSS2 # AV: N / AC: L / Au: N / C: P / I: P / D: P) Plugin de salida: Fuente de la versión: X-Powered-By: PHP/5.2.13 La versión instalada: 05/02/13 Fija la versión: 02/05/14 CVE: CVE-2010-0397, CVE-2010-1860, CVE-2010-1862, CVE-2010-1864, CVE-2010-2097, CVE-2010-2100, CVE-2010-2101, CVE-2010-2190, CVE-2010-2191, CVE-2010-2225, CVE-2010-2484, CVE-2010-2531, CVE-2010-3065 BID: 38708, 40948, 41991 Otras referencias: OSVDB: 63078, OSVDB: 64322, OSVDB: 64544, OSVDB: 64546, OSVDB: 65755, OSVDB: 66087, OSVDB: 66093, OSVDB: 66094, OSVDB: 66095, OSVDB: 66096, OSVDB: 66097, OSVDB: 66098 , OSVDB: 66099, OSVDB: 66100, OSVDB: 66101, OSVDB: 66102, OSVDB: 66103, OSVDB: 66104, OSVDB: 66105, OSVDB: 66106, OSVDB: 66798, OSVDB: 66804, OSVDB: 66805, Secunia: 39675, Secunia : 40268 Título: Re: pregunta sobre PHP 5.2 <02/05/14 múltiples vulnerabilidades Publicado por: nkni en 1 Septiembre 2011, 03:52 am Si estas con un proveedor de servicios de internet hosting, dile al proveedor que actualice su versión de 5.3 PHP a la mas actual. O a la version 5.2.17.
Y si el servidor es tuyo, ya sabes: http://php.net |