Ha sido anunciada una vulnerabilidad en la función de Hash de Ruby 1.9, la cual podría llegar a permitir a usuarios remotos llegar a provocar una denegación de servicio en aplicaciones que hagan uso de la función anteriormente mencionada.
Leer Más
Oracle GlassFish Server presenta un fallo de autenticación en su Consola de Administración que permitiría a un atacante remoto acceder mediante peticiones TRACE.
Oracle GlassFish Server es uno de los motores J2EE libres más importantes y, junto a JBOSS, de los más extendidos y utilizados por la comunidad.
Leer Más
Hace poco Alexander Gavrun ha hecho publico un fallo de seguridad establecido en la función 'phar_parse_tarfile' del ya conocido PHP 5.
"phar" Es una exención reconocida por muchos cuyo principal funcionamiento radica en el "empaquetamiento" de aplicaciones PHP facilitando, de esa manera su distribución e instalación en otros sistemas. Puede también manipular ficheros TAR y ZIP.
El fallo en cuestión se encuentra específicamente en el archivo "ext\phar\tar.c", el mismo radica en un error de programación que introduce un desbordamiento de enteros durante el manejo de las cabeceras de los ficheros TAR. Un atacante puede manipular el valor 'entry.filename_len' al haber sido asignado después de operar con el resultado de la función 'phar_tar_number' que utiliza como argumento el 'header->size'.
Al llamar a la función 'php_stream_read' se intentaría copiar datos a un buffer que no ha sido previamente reservado, lo que provocaría una denegación de servicio y potencialmente permitiría ejecutar código arbitrario.
Alexander Gavrun ha publicado una prueba de concepto en su blog, codificada en Base64. Hasta el momento php.net no ha publicado ninguna solución oficial.
Se recomienda no procesar con esta función archivos TAR en los que no se confíe.
Mas información: http://0x1byte.blogspot.com/2011/04/php-phar-extension-heap-overflow.html
Esta página recomienda el uso de
Usa Chrome y sentí la diferencia
Podrás dormir tranquil@...
Queres Saber mas sobre mi???
