CONOCIMIENTO pertenece al mundo
PHP 7 se ve afectado por una vulnerabilidad no parcheada que abre los servidores que ejecutan la última rama del lenguaje de programación PHP a los ataques.
La vulnerabilidad, aún sin parchear es parte de un trío de errores divulgados durante una presentación de Yannay Livné, Check Point investigador, en la calle 33 Chaos Communication Congress de este año.
LAS VULNERABILIDADES AFECTAN MECANISMO UNSERIALIZE DE PHP 7
Los tres errores afectan mecanismo unserialize de PHP, el proceso de convertir un flujo de bytes de nuevo en un objeto PHP.
Los marcadores de identificación CVE de los tres errores son CVE-2016-7478, CVE-2.016-7479, y CVE-2016-7480.
De acuerdo con un informe técnico publicado por Livné, el primer error es una denegación de servicio (DoS) tema, pero que puede ser explotada de forma remota y se utiliza para hacer que un servidor PHP para consumir demasiada memoria, colgar la página web, e incluso apagar el proceso del servidor.
Los otros dos insectos son las vulnerabilidades de ejecución remota de código (RCE) que permiten a un atacante ejecutar código malicioso en el servidor, lo que en algunos casos podría permitir al intruso para hacerse cargo de todo el servidor.
UNO DE LOS ERRORES PERMANECE SIN PARCHEAR
Livné dice que informó al equipo de PHP de los temas en agosto y septiembre de este año. El equipo PHP empujó una corrección de errores el 13 de octubre, con el lanzamiento de PHP 7.0.12, y el 1 de diciembre, con el lanzamiento de PHP 7.1.0.
El equipo PHP fija sólo dos de los tres temas en el momento de la escritura, con un error sin parche restante. Bleeping ordenador se ha acercado a Stanislav Malyshev, un miembro del equipo de PHP, para preguntar sobre el estado del último fallo. De acuerdo con Malyshev, el equipo de PHP no "por lo general tienen fechas de lanzamiento específicos para errores individuales".
"Las versiones de PHP se realizan cada 4 semanas, con la siguiente planeado el 5 de enero", dijo Malyshev. "Una vez que la solución para el problema concreto está listo, que se libera en la próxima versión programada."
Livné dice que los tres errores pueden ser explotadas utilizando una técnica que previamente se detalla en agosto. El investigador no ha especificado cuál de los tres errores permanecieron sin parchear.
Bleeping ordenador se ha acercado a Livné para preguntar si existe evidencia de que cualquiera de los tres errores se ha explotado en la naturaleza.
LA SAGA INTERMINABLE DE TEMAS / UNSERIALIZE SERIALIZE
El / unserialize mecanismo de serialización (transformación de objetos de datos en bytes de memoria y viceversa) ha sido una de las principales causas de problemas en versiones anteriores de PHP, y parece que va a ser el mismo para PHP 7.
Un error en el mecanismo de serialización PHP ha permitido a los investigadores previamente para introducirse en PornHub.
Del mismo modo, los problemas con las operaciones unserialize también afectan a las aplicaciones Java, y un importante error se ha utilizado para comprometer algunos servicios de PayPal este año.
Fuente: https: //www.bleepingcomputer.com/
CONOCIMIENTO pertenece al mundo
No hay comentarios:
Publicar un comentario