Ubuntu liberó actualizaciones para php4-dev y php4-pear. Estas reparan varias vulnerabilidades que pueden explotarse para escalar privilegios o comprometer un sistema vulnerable.
Ubuntu Security Notice
USN-171-1
Ubuntu Linux 4.10 | PHP | < | 4:4.3.8-3ubuntu7.12 |
Ubuntu Linux 5.04 | PHP | < | 4:4.3.10-10ubuntu4.1 |
Ubuntu liberó actualizaciones para php4-dev y php4-pear. Estas reparan varias vulnerabilidades que pueden explotarse por usuarios locales maliciosos para escalar privilegios o por personas maliciosas para comprometer un sistema vulnerable.
Eric Romang encontró que shtool crea archivos temporales de forma insegura. Esto puede permitir un ataque con ligas simbólicas para crear o sobrescribir archivos arbitrarios con los privilegios del usuario que invoco al progrma shtool.
La creación de archivos temporales en shtool también es vulnerable a un "race condition", que podría permitirle a un usuario local leer el contenido de los archivos temporales.
La falta de verificación en la etiquetas XML anidadas de XML_RPC permite la ejecución de código PHP.
Ver:
Ejecución de código PHP en etiquetas XML anidadas de PEAR XML_RPC.
Acceso al sistema.
Aplicar los paquetes actualizados.
-- Ubuntu 4.10 (Warty Warthog) --
Archivos Fuente:
http://security.ubuntu.com/ubuntu/pool/main/p/php4/php4_4.3.8-3ubuntu7.12.diff.gz
MD5: 619956 b942641e9913c33c45dc2720c333506c
http://security.ubuntu.com/ubuntu/pool/main/p/php4/php4_4.3.8-3ubuntu7.12.dsc
MD5: 1626 3cddc95478a05c39184d4f5ead0723c0
http://security.ubuntu.com/ubuntu/pool/main/p/php4/php4_4.3.8.orig.tar.gz
MD5: 4832570 dd69f8c89281f088eadf4ade3dbd39ee
-- Ubuntu 5.04 (Hoary Hedgehog) --
Archivos Fuente:
http://security.ubuntu.com/ubuntu/pool/main/p/php4/php4_4.3.10-10ubuntu4.1.diff.gz
MD5: 270169 a3fa2007c18bfe8c23cf92d6c0577ebd
http://security.ubuntu.com/ubuntu/pool/main/p/php4/php4_4.3.10-10ubuntu4.1.dsc
MD5: 1469 fa6151a4adff7eacbe1e96b6de7f0a5c
http://security.ubuntu.com/ubuntu/pool/main/p/php4/php4_4.3.10.orig.tar.gz
MD5: 4892209 73f5d1f42e34efa534a09c6091b5a21e
Mayor información.
http://www.ubuntulinux.org/La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT