-------------------------------------------------------------------------- Alerta de Segurança Debian DSA 168-1 security@debian.org http://www.debian.org/security/ Martin Schulze 18 de Setembro de 2002 http://www.debian.org/security/faq -------------------------------------------------------------------------- Pacote : PHP3, PHP4 Vulnerabilidade : ignorando o safe_mode e injeção de CRLF Tipo de Problema : remoto Específico ao Debian : não Id do CVE : CAN-2002-0985 CAN-2002-0986 Id BugTraq : 5681 Wojciech Purczynski descobriu que é possível para scripts passarem textos arbitrários ao sendmail como extensão de linha de comando quando enviados por e-mail através do PHP, mesmo quando o safe_mode está habilitado. A passagem do 5o argumento deve ser desabilitada se o PHP está configurado no safe_mode, o que é o caso para versões novas do PHP e para as versões abaixo. No entanto, isso não afeta o PHP3. Wojciech Purczynski também descobriu que caracteres ASCII arbitrários, de controle, podem ser injetados dentro da string de argumentos da função mail(). Se argumentos para função mail() são pegos da entrada de dados do usuário, eles dão a ele a capacidade de alterar o conteúdo das mensagens incluindo o cabeçalho do e-mail. Ulf Harnhammar descobriu que file() e fopen() são vulneráveis a injeção de CRLF. Um atacante pode usar ele para escapar de certas restrições e adicionar textos arbitrários na requisição HTTP que é enviada. Entretanto isso só acontece se alguma coisa é passada para essas funções, que não sejam nome de arquivo e nem url válidos. Qualquer string que contenha caracteres de controle não é uma url valida. Antes de você passar uma string que deve ser uma url para qualquer função você tem que usar urlencode() para codifica-la. Três problemas foram identificados no PHP: 1. A função mail() pode permitir que cabeçalhos de emails arbitrários sejam especificados se um endereço ou assunto contenham caracteres CR/LF. 2. A função mail() não desabilita corretamente a passagem do opções de linha de comando arbitrárias ao sendmail quando rodando em modo de segurança. 3. A função fopen(), quando devolve uma URL, pode permitir a manipulação dessa requisição para o recurso através de uma URL contendo caracteres CR/LF. Por exemplo, cabeçalhos podem ser adicionados em uma requisição HTTP. Esses problemas foram corrigidos na versão 3.0.18-23.1woody1 para PHP3 e 4.1.2-5 para PHP4 na a atual distribuição estável (woody), na versão 3.0.18-0potato1.2 para PHP3 e 4.0.3pl1-0potato4 para PHP4 na antiga distribuição estável (potato) e na versão 3.0.18-23.2 para PHP3 e 4.2.3-3 para PHP4 na distribuição instável (sid). Nós recomendamos que você atualize seus pacotes PHP. -------------------------------------------------------------------------- Essa é uma tradução do DSA original, enviado para a lista debian-security-announce@lists.debian.org. Caso queira receber os alertas em inglês e minutos depois de sua publicação, inscreva-se na lista acima, através do endereço: http://www.debian.org/MailingLists/subscribe#debian-security-announce -------------------------------------------------------------------------- Henrique Pedroni Neto - kirkham <henrique@ital.org.br> ******************************************************************* .''`. Debian Weekly News: <http://www.debian.org/News/weekly> : :' : Debian BR.........: <http://debian-br.cipsga.org.br> `. `'` Equipe de Imprensa e Traduções do Debian-BR `- O que você quer saber hoje? ******************************************************************* Se você tiver notícias interessantes para serem publicadas, envie-nas para <debian-br-imprensa@listas.cipsga.org.br>.
Attachment:
pgpwLTvSOLtDu.pgp
Description: PGP signature