Vulnerabilidad en PHP a través de magic_quotes_gpc

Publicado en Ciencia y Tecnología, Noticias,


Tweet about this on TwitterShare on Google+2Share on Facebook0Share on LinkedIn0

PHP incorpora una directiva ‘magic_quotes_gpc‘, que se encarga de filtrar las peticiones de GET, POST y Cookie. Esta directiva filtra los caracteres comillas simples, comillas dobles, la barra de path y los nulos.

Fue marcada como “deprecated” (se informa que será borrada) en la versión 5.3.0, pero actualmente se puede seguir usando, aunque no es recomendable porque se eliminará en futuras versiones.

El fallo se produce durante el proceso de importación de las variables de entorno. Estas variables no se ven afectadas por esta directiva, por tanto, se deshabilita durante este proceso. El problema es que esto no se realiza de forma correcta, lo que permitiría a un atacante remoto eludir el filtrado a través de una petición especialmente diseñada.

A esta vulnerabilidad se le ha asignado el identificador CVE-2012-0831.

El fallo se ha solucionado primero para la distribución Ubuntu. Aunque existe un parche oficial que soluciona este error, PHP aún no ha publicado una versión estable que lo solucione.

Más información:

PHP svn:
http://svn.php.net/viewvc?view=revision&revision=323016

Ubuntu Security Notice:
http://www.ubuntu.com/usn/USN-1358-1

Fuente

Califica esta entrada

Etiquetas:


Deja un comentario

Cuanto es 18 + 21 ?
Please leave these two fields as-is:
IMPORTANTE! Necesitas resolver la operación matemática para poder continuar.

Newsletter

Redes sociales

Centro de soporte

Centro de recursos