PHP Group anuncia la existencia de un problema
de seguridad en el CGI(*) SAPI de la versión 4.3.0 de Hypertext Preprocessor
(PHP), que afecta a todas las plataformas.
El lenguaje de script PHP impide el acceso directo a los CGI(*) mediante la
configuración de las opciones “–enable-force-cgi-redirect” y
“cgi.force_redirect”. Sin embargo, se ha descubierto una técnica que burla
la referida protección y permite a un atacante acceder, de forma directa, a
los CGI. En la práctica, posibilita la lectura de archivos y la ejecución de
código.
PHP Group ha proporcionado la nueva versión 4.3.1 de PHP, en la que se
encuentra resuelta la citada vulnerabilidad, y cuya instalación se
recomienda a aquellos usuarios cuyos equipos puedan verse afectados.
Más información en:
http://www.php.net/release_4_3_1.php
(*) CGI (Common Gateway Interface) es un sistema de programación para
páginas web.