Miembros de
Boletines de Vulnerabilidades |
Vulnerabilidad en el módulo CGI en PHP versión 4.3.0 |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Aumento de la visibilidad |
| Dificultad | Avanzado |
| Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricante afectado | GNU/Linux |
| Software afectado | PHP 4.3.0 |
Descripción |
|
| PHP contiene código para prevenir el acceso directo al binario CGI mediante la opción de configuración "--enable-force-cgi-redirect" y la opción de php.ini "cgi.force_redirect". En PHP 4.3.0 existe una vulnerabilidad que hace que estas opciones se vuelvan inútiles. Cualquiera con acceso a las websites hospedadas en un servidor web que emplee el módulo CGI puede explotar esta vulnerabilidad para conseguir acceso a cualquier fichero accesible por el servidor. | |
Solución |
|
|
Actualización de software Instale la versión 4.3.1 o posterior http://www.php.net/downloads.php |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE | CAN-2003-0097 |
| BID | |
Recursos adicionales |
|
|
PHP Security Advisory: CGI vulnerability in PHP version 4.3.0 http://www.php.net/release_4_3_1.php |
|
Histórico de versiones |
||
| Versión | Comentario | Fecha |
| 1.0 | Aviso emitido | 2003-02-18 |