Boletines de Vulnerabilidades |
Vulnerabilidad en el módulo CGI en PHP versión 4.3.0 |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Aumento de la visibilidad |
Dificultad | Avanzado |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | GNU/Linux |
Software afectado | PHP 4.3.0 |
Descripción |
|
PHP contiene código para prevenir el acceso directo al binario CGI mediante la opción de configuración "--enable-force-cgi-redirect" y la opción de php.ini "cgi.force_redirect". En PHP 4.3.0 existe una vulnerabilidad que hace que estas opciones se vuelvan inútiles. Cualquiera con acceso a las websites hospedadas en un servidor web que emplee el módulo CGI puede explotar esta vulnerabilidad para conseguir acceso a cualquier fichero accesible por el servidor. | |
Solución |
|
Actualización de software Instale la versión 4.3.1 o posterior http://www.php.net/downloads.php |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE | CAN-2003-0097 |
BID | |
Recursos adicionales |
|
PHP Security Advisory: CGI vulnerability in PHP version 4.3.0 http://www.php.net/release_4_3_1.php |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2003-02-18 |