Um grupo de desenvolvedores PHP divulgou na quinta-feira (16/12) um alerta para diversas falhas críticas presentes na linguagem de scripts, que vão de ataques de sobrecarga (buffer overflow), vazamento de informações e possibilidade de escalar privilégios no sistema.
Segundo Stefan Esser, programador da Hardened PHP Project, as brechas mais imediatas e perigosas estão relacionadas à variável "unserialize()", permitindo que usuários maliciosos executem códigos no sistema remotamente. Esser afirma ainda que diversos aplicativos PHP expõem as falhas para fácil exploração, mas atualizações de segurança podem tornar algumas delas ineficientes.
A recomendação do programador é que todos os desenvolvedores se atualizem para a versão PHP 4.3.10, já que as versões anteriores possuem brechas críticas conhecidas.
Matthew Broersma - Techworld.com
Fonte : IDG Now
2 replies to this topic
#1
infonet
-
- Usuários
-
- 57 posts
Turista
- Sexo:Não informado
Posted 18/12/2004, 20:00
Você procura Hospedagem para seu site ?
Visite a http://www.hostall.com.br
Domínios por R$ 35,90/ano
com painel de controle proprío
Visite a http://www.hostall.com.br
Domínios por R$ 35,90/ano
com painel de controle proprío
#2
Prog
-
- Ex-Admins
-
- 3761 posts
...
- Sexo:Masculino
- Localidade:Rio de Janeiro/RJ
- Interesses:TI, Software Livre, Design Digital e Rock'n'Roll.
Posted 20/12/2004, 10:24
Descobertas várias falhas graves na linguagem PHP
16/12/2004 - 19:23 Redação InfoGuerra
Foram encontradas múltiplas vulnerabilidades em versões da linguagem PHP (Hypertext Preprocessor), que colocam em risco a integridade de Web sites. Ao todo, são dez falhas de segurança, classificadas como altamente críticas pela Secunia.
PHP é uma linguagem de programação baseada em scripts, amplamente utilizada no desenvolvimento de Web sites dinâmicos, e com capacidade de interagir com o formato HTML. O PHP pode ser rodado em vários servidores Web, como Apache, IIS, Caudium, Netscape e iPlanet, OmniHTTPd e outros.
Conforme alerta da Secunia, as vulnerabilidades podem ser exploradas remotamente para contornar determinadas limitações de segurança, escalar privilégios de usuários, obter acesso à informações sensíveis, ou comprometer um sistema vulnerável.
Seis delas foram descobertas e relatadas pelo programador alemão Stefan Esser, responsável pelo Projeto Hardened-PHP, que pretende aumentar a segurança do PHP. As falhas foram constatadas durante a implementação do projeto. Em outras ocasiões, o pesquisador já foi responsável pela descoberta de importantes vulnerabilidades no PHP.
Esser afirma que as falhas detectadas por ele podem atingir vários aplicativos construídos com a linguagem PHP, entre os quais: phpBB2, Invision Board, vBulletin, Woltlab Burning Board 2.x, Serendipity Weblog, phpAds, o outros.
Três outras falhas foram divulgadas no boletim 4.3.10, emitido pela equipe de desenvolvimento do PHP. O pesquisador Martin Eiszner foi responsável por outra das descobertas.
Estão vulneráveis as versões PHP 5.0.x e PHP 4.3.x. A recomendação é que os administradores atualizem rapidamente suas versões para 4.3.10 ou 5.0.3. O download pode ser feito no site oficial do PHP.
Fonte: InfoGuerra
16/12/2004 - 19:23 Redação InfoGuerra
Foram encontradas múltiplas vulnerabilidades em versões da linguagem PHP (Hypertext Preprocessor), que colocam em risco a integridade de Web sites. Ao todo, são dez falhas de segurança, classificadas como altamente críticas pela Secunia.
PHP é uma linguagem de programação baseada em scripts, amplamente utilizada no desenvolvimento de Web sites dinâmicos, e com capacidade de interagir com o formato HTML. O PHP pode ser rodado em vários servidores Web, como Apache, IIS, Caudium, Netscape e iPlanet, OmniHTTPd e outros.
Conforme alerta da Secunia, as vulnerabilidades podem ser exploradas remotamente para contornar determinadas limitações de segurança, escalar privilégios de usuários, obter acesso à informações sensíveis, ou comprometer um sistema vulnerável.
Seis delas foram descobertas e relatadas pelo programador alemão Stefan Esser, responsável pelo Projeto Hardened-PHP, que pretende aumentar a segurança do PHP. As falhas foram constatadas durante a implementação do projeto. Em outras ocasiões, o pesquisador já foi responsável pela descoberta de importantes vulnerabilidades no PHP.
Esser afirma que as falhas detectadas por ele podem atingir vários aplicativos construídos com a linguagem PHP, entre os quais: phpBB2, Invision Board, vBulletin, Woltlab Burning Board 2.x, Serendipity Weblog, phpAds, o outros.
Três outras falhas foram divulgadas no boletim 4.3.10, emitido pela equipe de desenvolvimento do PHP. O pesquisador Martin Eiszner foi responsável por outra das descobertas.
Estão vulneráveis as versões PHP 5.0.x e PHP 4.3.x. A recomendação é que os administradores atualizem rapidamente suas versões para 4.3.10 ou 5.0.3. O download pode ser feito no site oficial do PHP.
Fonte: InfoGuerra
------
Mero mortal!
Mero mortal!
#3
Agente Linhares
-
- Ex-Admins
-
- 3138 posts
fuis...abraços!
- Sexo:Não informado
- Localidade:Biritiba Mirim-SP
Posted 08/01/2005, 03:52
hehe...entao nao é so o asp q tem bugs..rs
nada é perfeito.
mas o lance é ir corrigindo aos poucos..e creio q por o php ser livre breve vao tirando essas falhas..
nada é perfeito.
mas o lance é ir corrigindo aos poucos..e creio q por o php ser livre breve vao tirando essas falhas..
> Busca On-line - A Busca que faltava na Internet! - Cadastre-se!
---------------------------------------------------------------------------
> BRdesign.NET - Soluções em Websites e Sistemas E-Commerce.
---------------------------------------------------------------------------
> BR-ecommerce - Sua loja virtual na internet! - Apenas R$99,90 mensais (hospedagem inclusa)!
---------------------------------------------------------------------------
> BRdesign.NET - Soluções em Websites e Sistemas E-Commerce.
---------------------------------------------------------------------------
> BR-ecommerce - Sua loja virtual na internet! - Apenas R$99,90 mensais (hospedagem inclusa)!
1 user(s) are reading this topic
0 membro(s), 1 visitante(s) e 0 membros anônimo(s)
