OVH Community, your new community space.

Aviso seguridad php


kuriana
14/01/2012, 11:04
¿Afecta a todas las versiones estables de PHP? Menuda historia...

sdzzds
13/01/2012, 18:36
Gracias por el aviso Tony

Diablo48
13/01/2012, 13:41
Gracias por el aviso

tonysanchez
13/01/2012, 08:30
Hola.

Es un aviso de seguridad importante, no banal.

PHP y otros lengaujes de scripts esta afectados por lo que se llama Hash Collision Vulnerability y debido a ello, muchas de las contramedidas habituales son inutiles.

Las recomendaciones, mientras PHP se prepara pasan por el uso en PHP 5.3.9 de la variable max_input_vars.

Fuera de esta version y de las PHP 5.4.0 RC la solucion mas práctica es el uso de sushosin. Claro que aqui chocamos con un momento de software diseñado a golpe de matriz para el paso de informacion entre paginas, que petara si reducimos el valor de max_vars que dichas aplicaciones necesitan en tamaños gigantestescos, tales como algunos modulos de Joomla, Wordpress etc.

Hemos podido comprobar los efectos en Wordpress, Zencart y Joomla. Y de momento no ha ido medio bien con el software cxs, para su deteccion proactiva, pero el ataque comienza a ser pesado.

VAle la pena leer el articulo.

http://www.phpclasses.org/blog/post/...f-Servers.html