Múltiples vulnerabilidades en PHP provocan ataques DoS

os problemas están relacionados con dos funciones que manejan imágenes, y que pueden ser empleadas maliciosamente para que el programa caiga en un ciclo sin fin hasta agotar el 100 % de los recursos del procesador, haciendo que todo el sistema deje de responder, según publica VSantivirus.

Una de las funciones afectadas, "getimagesize()", puede ser explotada por un atacante mediante una imagen creada maliciosamente. Esta función es utilizada para determinar el tamaño y formato de una imagen GIF, JPEG o TIFF. El fallo se debe a una incorrecta validación de las cabeceras de los archivos involucrados.

Están afectadas las versiones 4.2.2, 4.3.9, 4.3.10 y 5.0.3.

El problema pone en riesgo aquellos sitios que ejecuten PHP y que además permitan que los usuarios puedan cargar imágenes en el servidor. Si bien el sitio puede quedar fuera de línea después de un ataque de este tipo, estos fallos no permiten la ejecución remota de código, ni que el atacante pueda llegar a tomar el control del servidor.

La solución es actualizar las versiones de PHP que se tengan instaladas, por las recientemente publicadas (4.3.11 y 5.0.4), desde el siguiente enlace:

http://www.php.net/downloads

La actualización 4.3.11 corrige otras vulnerabilidades menos graves.


Relacionados:

PHP 4.3.11 Release Announcement
http://www.php.net/release_4_3_11.php