Las versiones de PHP anteriores a la 4.3.8 permiten que un atacante remoto ejecute código arbitrario en el servidor mediante una petición HTTP cuidadosamente planificada.
Otra vulnerabilidad, solucionada en esta actualización, permite realizar inyecciones de código XSS (Cross Site Scripting) que afectan a los clientes que utilicen Internet Explorer o el navegador «Safari» de Apple. La actualización elimina otras vulnerabilidades menores.
Se recomienda a los administradores de sistemas PHP que actualicen cuanto antes a la versión 4.8.3, o que migren a la nueva versión 5.0.
Más Información:
MDKSA-2004:068 – Updated php packages fix multiple vulnerabilities
http://www.securityfocus.com/archive/1/368924
[ GLSA 200407-13 ] PHP: Multiple security vulnerabilities
http://www.securityfocus.com/archive/1/368925
PHP memory_limit remote vulnerability
http://security.e-matters.de/advisories/112004.html
PHP 4.3.8 Release Announcement
http://www.php.net/release_4_3_8.php
PHP: Hypertext Preprocessor
http://www.php.net/
Jesús Cea Avión
jcea@hispasec.com
Noticias Hispasec
