RNP - Rede Nacional de Ensino e Pesquisa
 
Segurança de redes 
 

Multiplas vulnerabilidades no PHP 4.3.9 e 5.0.2

Projeto PHP-Hardened

[CAIS, 21.12.2004-17:10, revisão 01]


O CAIS está repassando o alerta do Projeto PHP-Hardened, intitulado "Multiple vulnerabilities within PHP 4/5", que trata de uma série de vulnerabilidades recém-descobertas na linguagem de scripts PHP.

PHP é uma linguagem de scripts de uso geral amplamente utilizada, especialmente adequada para o desenvolvimento Web e que pode ser embutida em HTML. Pode ser instalado em diversos servidores Web, como por exemplo o Apache e o IIS.

As sete vulnerabilidades encontradas podem permitir que um atacante execute código arbitrário local e remotamente. As descobertas foram feitas durante o desenvolvimento do Hardened-PHP, um projeto paralelo ao PHP que visa reforçar a segurança desta linguagem por meio de patches.

O CAIS observou nos últimos meses um aumento considerável no número de sistemas comprometidos através da exploração de vulnerabilidades de PHP, seja na linguagem propriamente dita ou em sistemas de gerenciamento de conteúdo (CMS), notadamente PHP-Nuke. Gostaríamos de trazer atenção aos seguintes pontos:

A necessidade de se atualizar PHP tão logo seja lançada uma nova versão. Recomendamos que se assine a lista "Announcements" por meio do seguinte URL:

PHP - Mailing Lists
http://www.php.net/mailing-lists.php

É importante também que se mantenham atualizados sistemas baseados em PHP, tais como PHP-Nuke e outros CMS similares.

Siga as orientações de segurança do próprio manual do PHP:

Manual do PHP - Capítulo 16 - Segurança
http://www.php.net/manual/pt_BR/security.index.php

Considerar a aplicação dos patches fornecidos pelo projeto Hardened-PHP, disponíveis em:

Hardened-PHP
http://www.hardened-php.net/

Programação segura: desabilitar o parametro "register_globals" para assegurar e encorajar a validação adeqüada de variáveis. Outras medidas de segurança importantes sao descritas por Johannes Ullrich no ISC Handler's Diary de 17/12 (consulte a seção "Mais informações").

Sistemas Afetados:

  • PHP4 - versão 4.3.9 e anteriores
  • PHP5 - versão 5.0.2 e anteriores

Correções disponíveis:

Recomenda-se fazer a atualização para as versões disponíveis em:

Mais informações:

Identificadores CVE: CAN-2004-1018, CAN-2004-1019 CAN-2004-1020, CAN-2004-1063, CAN-2004-1064 e CAN-2004-1065

O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.

Os Alertas do CAIS também são oferecidos no formato RSS/RDF



Centro de Atendimento a Incidentes de Segurança

Consulta em alertas

 


Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br


Chave PGP pública do Cais