kuriana
14/01/2012, 11:04
¿Afecta a todas las versiones estables de PHP? Menuda historia...
Aviso seguridad php
sdzzds
13/01/2012, 18:36
Gracias por el aviso Tony
Diablo48
13/01/2012, 13:41
Gracias por el aviso
tonysanchez
13/01/2012, 08:30
Hola.
Es un aviso de seguridad importante, no banal.
PHP y otros lengaujes de scripts esta afectados por lo que se llama Hash Collision Vulnerability y debido a ello, muchas de las contramedidas habituales son inutiles.
Las recomendaciones, mientras PHP se prepara pasan por el uso en PHP 5.3.9 de la variable max_input_vars.
Fuera de esta version y de las PHP 5.4.0 RC la solucion mas práctica es el uso de sushosin. Claro que aqui chocamos con un momento de software diseñado a golpe de matriz para el paso de informacion entre paginas, que petara si reducimos el valor de max_vars que dichas aplicaciones necesitan en tamaños gigantestescos, tales como algunos modulos de Joomla, Wordpress etc.
Hemos podido comprobar los efectos en Wordpress, Zencart y Joomla. Y de momento no ha ido medio bien con el software cxs, para su deteccion proactiva, pero el ataque comienza a ser pesado.
VAle la pena leer el articulo.
http://www.phpclasses.org/blog/post/...f-Servers.html
Es un aviso de seguridad importante, no banal.
PHP y otros lengaujes de scripts esta afectados por lo que se llama Hash Collision Vulnerability y debido a ello, muchas de las contramedidas habituales son inutiles.
Las recomendaciones, mientras PHP se prepara pasan por el uso en PHP 5.3.9 de la variable max_input_vars.
Fuera de esta version y de las PHP 5.4.0 RC la solucion mas práctica es el uso de sushosin. Claro que aqui chocamos con un momento de software diseñado a golpe de matriz para el paso de informacion entre paginas, que petara si reducimos el valor de max_vars que dichas aplicaciones necesitan en tamaños gigantestescos, tales como algunos modulos de Joomla, Wordpress etc.
Hemos podido comprobar los efectos en Wordpress, Zencart y Joomla. Y de momento no ha ido medio bien con el software cxs, para su deteccion proactiva, pero el ataque comienza a ser pesado.
VAle la pena leer el articulo.
http://www.phpclasses.org/blog/post/...f-Servers.html