30 de abril de 2011

FALLO DE SEGURIDAD EN “php 5.x”

Alexander Gavrun ha descubierto y publicado en su blog un fallo de seguridad en la función 'phar_parse_tarfile' de PHP 5.

Descripción de la función:

'phar' es una extensión de PHP concebida para empaquetar aplicaciones PHP y facilitar así su distribución e instalación en otros sistemas. Proporciona además una abstracción para manipular ficheros ZIP y TAR.

Detalle de la vulnerabilidad:

  • El fallo se encuentra en el fichero 'ext\phar\tar.c'.
  • Existe un error de programación que introduce un desbordamiento de enteros durante el manejo de las cabeceras de los ficheros TAR.
  • Al llamar a la función 'php_stream_read' se intentaría copiar datos a un buffer que no ha sido previamente reservado, lo que provocaría una denegación de servicio y potencialmente permitiría ejecutar código arbitrario.

Recomendaciones :

Se recomienda no procesar con esta función archivos TAR en los que no se confíe.

Más información :

PHP (phar extension) heap overflow:

http://0x1byte.blogspot.com/2011/04/php-phar-extension-heap-overflow.html

Fuente: Hispasec

APROBADO EL PLAN DE IMPLANTACIÓN DEL PROTOCOLO “IPv6” EN ESPAÑA

El Gobierno Español aprobó el plan de implantación del protocolo IPv6, según explicó el Secretario de Estado de Telecomunicaciones.

El nuevo protocolo permitirá la asignación de hasta 340 sextillones de nuevas direcciones, además de ser más eficiente que el actual IPv4 .

También permitirá anticiparse al crecimiento de la Red ya que las direcciones actuales se calcula que se agotarán a finales de año.

El Ministerio de Industria será el primero en incorporar IPv6 en junio. Y también, se pondrá en marcha el portal informativo www.ipv6.es.

El Gobierno incluirá en su plan 10 medidas de apoyo a las empresas para que lo adopten.

Destacan las ayudas a proyectos técnicos, el desarrollo de la colaboración público-privada y la incorporación de IPv6 en la compra pública.

Fuente: www.elpais.com