El primero de los problemas puede dar lugar a que un usuario sin autorización acceda a recursos restringidos. El problema es específico al módulo para Apache del paquete PHP, y afecta únicamente cuando se ejecuta en combinación con el mencionado servidor web. El control de accesos por directorio se realiza a través del archivo .htaccess. Sin embargo si un usuario malicioso genera una petición http especialmente construida es posible forzar a PHP para que sirva la siguiente página con los mismos atributos de control de acceso que la página a la que accedió anteriormente. Este problema podrá permitir al atacante acceder a información a la que en principio no tiene permitido el acceso.
El segundo de los problemas se da en entornos con múltiples hosts virtuales y se produce debido a la característica de PHP de inhabilitar su funcionamiento en alguno de dichos entornos. Debido a un bug en el módulo para Apache de PHP, si uno o más hosts virtuales dentro de un único servidor Apache se configuran con la opci¢n «engine=off», este valor se propagar al resto de los hosts virtuales.
Como resultado de esta acci¢n se dejar n de ejecutar los scripts PHP, por lo que el c¢digo fuente de las p ginas se visualizar en los clientes web.
Por las caracter¡sticas de ambos problemas las situaciones o entornos en que se pueden llegar a producir son extra_as, aun as¡, debido a la extensi¢n y popularizaci¢n de este entorno de desarrollo web es conveniente conocer las implicaciones que pueden tener. Se ven afectadas por estos problemas todas las versiones de PHP para Apache desde PHP 4.0.0 hasta PHP 4.0.4. Para solucionar los problemas se
recomienda la actualizaci¢n a PHP 4.0.4pl1, disponible en:
http://www.php.net/downloads.php
Opina sobre esta noticia:
http://www.hispasec.com/unaaldiacom.asp?id=814
M s informaci¢n:
Securityfocus:
http://www.securityfocus.com/vdb/bottom.html?vid=2206
http://www.securityfocus.com/vdb/bottom.html?vid=2205
Bugtraq:
http://www.securityfocus.com/archive/1/156202
Antonio Ropero
antonior@hispasec.com
http://www.hispasec.com
