[Linux] Boletin UNAM-CERT 2002-005

To: unam-cert en seguridad unam mx
Subject: [Linux] Boletin UNAM-CERT 2002-005
From: UNAM-CERT <unam-cert en seguridad unam mx>
Date: Thu, 28 Feb 2002 02:49:07 -0600 (CST)
Reply-to: linux en linux net mx
Sender: owner-linux en linux net mx
-----BEGIN PGP SIGNED MESSAGE-----


     ------------------------------------------------------------------

                                 UNAM-CERT

                    Departamento de Seguridad en Computo

                                DGSCA- UNAM

                  Boletin de Seguridad UNAM-CERT 2002-005

                Multiples Vulnerabilidades en PHP fileupload

     ------------------------------------------------------------------

  El CERT/UNAM-CERT, a trav�s de sus equipos de respuesta a incidentes de 
  Seguridad en C�mputo, han emitido �ste bolet�n en el cual informan de la 
  existencia de m�ltiples vulnerabilidades en el lenguaje de scripts PHP. 

  El CERT/UNAM-CERT advierte que estas vulnerabilidades podr�an permitir a un 
  intruso remoto ejecutar c�digo arbitrario con privilegios de ejecuci�n del 
  proceso PHP. 



        Fecha de Liberaci�n: 27 de Febrero de 2002 
        Ultima Revisi�n:     27 de Febrero de 2002 
        Fuente:              CERT/CC y diversos reportes de Equipos de
			     Respuesta a Incidentes. 


  SISTEMAS AFECTADOS 
  ------------------


    Servidores web ejecutando PHP. 


  DESCRIPCI�N 
  -----------

  PHP es un lenguaje de scripts usado com�nmente en el desarrollo de web. PHP 
  puede ser instalado en una variedad de servidores web, incluyendo Apache, IIS, 
  Caudium, Netscape, iPlanet, OmniHTTPd y otros. Vulnerabilidades en la funci�n 
  php_mime_split pueden permitir a un intruso ejecutar c�digo arbitrario con 
  privilegios del servidor web. Para obtener detalles adicionales, consulte: 

	      http://security.e-matters.de/advisories/012002.html 

  Los servidores web que no tengan instalado PHP no son afectados por esta 
  vulnerabilidad. 

  El CERT/UNAM-CERT ha dado seguimiento y estableci� esta vulnerabilidad como 
  VU#297363. En este momento, estas vulnerabilidades no tienen asignado un 
  identificador CVE. 


  IMPACTO 
  -------


  Intrusos pueden ejecutar c�digo arbitrario con privilegios del servidor web, o 
  interrumpir las operaciones normales del servidor web. 


  SOLUCIONES 
  ----------


  * Aplicar un Parche 

  Actualizar a la versi�n 4.1.2, disponible en: 

	    http://www.php.net/do_download.php?download_file=php-4.1.2.tar.gz 

  Si la actualizaci�n no es posible, se pueden aplicar los parches descritos en 

		  http://www.php.net/downloads.php: 

    Para PHP 4.10/4.11
    http://www.php.net/do_download.php?download_file=rfc1867.c.diff-4.1.x.gz 


    Para PHP 4.06
    http://www.php.net/do_download.php?download_file=rfc1867.c.diff-4.0.6.gz 


    Para PHP 3.0
    http://www.php.net/do_download.php?download_file=mime.c.diff-3.0.gz 


  Si se esta usando la versi�n 4.20-dev, el sistema no es afectado por esta 
  vulnerabilidad. Citando algo de lo contenido en 

		  http://security.e-matters.de/advisories/012002.htm: 

    "Los usuarios ejecutando PHP 4.2.0-dev de cvs no son vulnerables para 
    cualquiera de los bugs descritos porque el c�digo del mecanismo de recepci�n 
    de archivos (fileupload) fue completamente reescrito para la versi�n 4.2.0". 



  * Deshabilitar el Mecanismo de Recepci�n de Archivos (fileupload) 

  Si la actualizaci�n no es posible o el parche no puede ser aplicado, se podr� 
  evitar esta vulnerabilidad al deshabilitar el soporte del mecanismo de 
  recepci�n de archivos (fileupload). Se debe editar el archivo de configuraci�n 
  de PHP php.ini con lo siguiente: 

			    file_uploads = off 

  Se debe hacer notar que esto �nicamente se puede aplicar a partir de la 
  versi�n 4.0.3. Sin embargo, esto imposibilitar� el uso del mecanismo de 
  recepci�n de archivos (fileupload), lo cual podr�a ser inaceptable en algunos 
  entornos de trabajo. 


  AP�NDICE A.- Informaci�n de Distribuidores 
  ------------------------------------------

  Este ap�ndice contiene informaci�n proporcionada por los distribuidores de 
  este bolet�n. Cuando los distribuidores reporten nueva informaci�n al 
  CERT/UNAM-CERT, se actualizar� esta secci�n. Si un distribuidor en particular 
  no se encuentra listado a continuaci�n, significa que no se han recibido sus 
  comentarios. 

  * Apache Software Foundation 

  Informaci�n acerca de esta vulnerabilidad esta disponible en 
  http://www.php.net 


  * FreeBSD 

  FreeBSD no incluye ninguna versi�n de PHP por default, y por lo tanto no es 
  vulnerable. Sin embargo FreeBSD Ports Collection contiene los paquetes PHP3 
  yPHP4. Las actualizaciones de los paquetes est�n en proceso y el paquete 
  corregido estar� disponible pr�ximamente. 


  * MandrakeSoft 

  MandrakeSoft distribuye PHP en todas sus distribuciones y actualmente esta 
  trabajando en la correcci�n de sus versiones de PHP para Linux-Mandrake 7.1 y 
  7.2; Linux Mandrake 8.0, 8.0/ppc, 8.1, y 8.1/ia64; Single Network Firewall 
  7.2; Corporate Server 1.0.1. 

  Se puede anticipar que las actualizaciones quedar�n terminadas para el fin de 
  semana. 


  * Microsoft 

  Microsoft no utiliza ning�n producto PHP. 


  * NCSA 

  NCSA no incluye PHP como un agregado o alguno de sus componentes en ning�n 
  producto de su distribuci�n. 


  * Red Hat 

  Red Hat fue notificado de esta emisi�n el 27 de Febrero del 2002. Todas las 
  versiones soportadas de RED Hat Linux vienen con el paquete PHP que es 
  afectado por estas vulnerabilidades. En breve se liberar� el parche para el 
  paquete, la cual contiene la versi�n parchada que no es vulnerable. El parche 
  y un bolet�n estar�n disponible del sitio web del URL listado abajo. Al mismo 
  tiempo los usuarios de Red Hat Network podr�n actualizar sus sistemas para 
  parchar las versiones usando la herramienta "up2date". 

            http://www.redhat.com/support/errata/RHSA-2002-035.html 


  AP�NDICE B.- REFERENCIAS 
  ------------------------


    http://www.kb.cert.org/vuls/id/297363 
    http://security.e-matters.de/advisories/012002.html 
    http://www.iss.net/security_center/static/8281.php 


  INFORMACI�N 
  -----------

  �ste documento se encuentra disponible en su formato original en la siguiente 
  direcci�n:

                http://www.cert.org/advisories/CA-2002-05.html 

  Para mayor informaci�n acerca de �ste bolet�n de seguridad contactar a: 


                                 UNAM CERT
                   Equipo de Respuesta a Incidentes UNAM
                    Departamento de Seguridad en Computo
                                DGSCA - UNAM
                    E-Mail : seguridad en seguridad unam mx
                        http://www.unam-cert.unam.mx
                        http://www.seguridad.unam.mx
                        ftp://ftp.seguridad.unam.mx
                             Tel : 56 22 81 69
                             Fax : 56 22 80 43



-----BEGIN PGP SIGNATURE-----
Version: 2.6.3i
Charset: cp850

iQEVAwUBPH3vFXAvLUtwgRsVAQGhywf/SrHX13poDaiQmnbSYdGPyIq0SvKCH1lc
4yXhWGGfMGPWBfnu+wCH4Fa1CgMp7kcahxHfNDAMy8AVLyz/cRkKCyAaulHsK1R8
9Pat1/X1UsAdZ23IUWFMRhLp75I9M6ZcuX/9PcCAJjUFW2sDwxQE9jOBSzUbR0Rb
VUZMu8zyMyntIjjJnZBT3ZMuHlsthoLl/N4bUoM2Xta3Zfzc/VaFuL0Gqg9D7h1+
DmuHxW8krpGvMSteNkcuU/inY+IpAesxmIP4a/ilCKB3AF31pk+eiqNYMu3aRtvu
ebxKcy+IxZ9iiwZRGmDpDs5L46lnsszyKOIOCCJZziRpwPhfmopldQ==
=n3VI
-----END PGP SIGNATURE-----



Lista de correo linux en linux net mx
Preguntas linux-owner en linux net mx
http://www.linux.net.mx/
Previo por Fecha: [Linux] boletin UNAM-CERT 2002-004
Siguiente por Fecha: [Linux] Que hongo !!!
Previo por Hilo: [Linux] boletin UNAM-CERT 2002-004
Siguiente por Hilo: [Linux] Que hongo !!!
[Hilos de Discusión] [Fecha] [Tema] [Autor]