pregunta sobre PHP 5.2 <02/05/14 múltiples vulnerabilidades

Iniciado por cebs, 31 Agosto 2011, 20:07 PM

0 Miembros y 1 Visitante están viendo este tema.

cebs

Hola wenas tardes analizando my web encontre un error  que riesgos ai? Gracias
Aver si alguien me pudiera ayudar porfavor

PHP 5.2 <02/05/14 múltiples vulnerabilidades

Sinopsis:

El servidor web remoto utiliza una versión de PHP que se ve afectada por
múltiples fallas.

Descripción:

De acuerdo con su bandera, la versión de PHP 5.2 instalado en el
host remoto es mayor que 5.2.14. Dichas versiones pueden verse afectadas por
varios problemas de seguridad:

- Existe un error al procesar no válida XML-RPC
peticiones que pueden conducir a un puntero NULL
eliminación de referencias. (Bug # 51 288) (CVE-2010-0397)

- Existe un error en "fnmatch" la función que pueden llevar
a la pila de agotamiento.

- Existe un error en la extensión SQLite que podría
permitir el acceso de memoria arbitraria.

- Un error de corrupción de memoria en la función
"Substr_replace.

- Las siguientes funciones no están adecuadamente protegidos
contra las interrupciones de la función:

addcslashes, chunk_split, html_entity_decode,
iconv_mime_decode, iconv_substr, iconv_mime_encode,
htmlentities, htmlspecialchars, str_getcsv,
http_build_query, strpbrk, strstr, str_pad,
str_word_count, ajuste de línea, strtok, setcookie,
strip_tags, recortar, LTrim, RTrim parse_str, empaquetar, desempaquetar,
uasort, preg_match, strrchr, strchr, substr, str_repeat
(CVE-2010-1860, CVE-2010-1862, CVE-2010-1864,
CVE-2010-2097, CVE-2010-2100, CVE-2010-2101,
CVE-2010-2190, CVE-2010-2191, CVE-2010-2484)

- Los códigos de operación siguientes no están debidamente protegidos
contra las interrupciones de la función:

ZEND_CONCAT, ZEND_ASSIGN_CONCAT, ZEND_FETCH_RW
(CVE-2010-2191)

- El serializador de sesión por defecto contiene un error
que puede ser explotado en la asignación de la sesión
variables que tienen nombres definidos por el usuario. Arbitrario
Los valores en serie pueden ser inyectados en las sesiones de
incluyendo el PS_UNDEF_MARKER, '!', personaje de
nombres de las variables.

- Un error de uso después de liberación en la función
"Spl_object_storage_attach. (CVE-2010-2225)

- Existe una vulnerabilidad de divulgación de información en el
la función 'var_export "el manejo de cierto error
condiciones. (CVE-2010-2531)

Ver también:

http://www.php.net/releases/5_2_14.php
http://www.php.net/ChangeLog-5.php # 02/05/14

Solución:

Actualizar a la versión de PHP 5.2.14 o posterior.

Factor de riesgo:

Alta / CVSS Base Score: 7.5
(CVSS2 # AV: N / AC: L / Au: N / C: P / I: P / D: P)

Plugin de salida:

Fuente de la versión: X-Powered-By: PHP/5.2.13
La versión instalada: 05/02/13
Fija la versión: 02/05/14

CVE: CVE-2010-0397, CVE-2010-1860, CVE-2010-1862, CVE-2010-1864, CVE-2010-2097, CVE-2010-2100, CVE-2010-2101, CVE-2010-2190, CVE-2010-2191, CVE-2010-2225, CVE-2010-2484, CVE-2010-2531, CVE-2010-3065
BID: 38708, 40948, 41991
Otras referencias: OSVDB: 63078, OSVDB: 64322, OSVDB: 64544, OSVDB: 64546, OSVDB: 65755, OSVDB: 66087, OSVDB: 66093, OSVDB: 66094, OSVDB: 66095, OSVDB: 66096, OSVDB: 66097, OSVDB: 66098 , OSVDB: 66099, OSVDB: 66100, OSVDB: 66101, OSVDB: 66102, OSVDB: 66103, OSVDB: 66104, OSVDB: 66105, OSVDB: 66106, OSVDB: 66798, OSVDB: 66804, OSVDB: 66805, Secunia: 39675, Secunia : 40268

nkni

Si estas con un proveedor de servicios de internet hosting, dile al proveedor que actualice su versión de 5.3 PHP a la mas actual. O a la version 5.2.17.

Y si el servidor es tuyo, ya sabes: http://php.net