--------------------------------------------------------------------------
Alerta de Segurança Debian DSA 168-1 security@debian.org
http://www.debian.org/security/ Martin Schulze
18 de Setembro de 2002 http://www.debian.org/security/faq
--------------------------------------------------------------------------
Pacote : PHP3, PHP4
Vulnerabilidade : ignorando o safe_mode e injeção de CRLF
Tipo de Problema : remoto
Específico ao Debian : não
Id do CVE : CAN-2002-0985 CAN-2002-0986
Id BugTraq : 5681
Wojciech Purczynski descobriu que é possível para scripts passarem
textos arbitrários ao sendmail como extensão de linha de comando
quando enviados por e-mail através do PHP, mesmo quando o safe_mode
está habilitado. A passagem do 5o argumento deve ser desabilitada se
o PHP está configurado no safe_mode, o que é o caso para versões novas
do PHP e para as versões abaixo. No entanto, isso não afeta o PHP3.
Wojciech Purczynski também descobriu que caracteres ASCII arbitrários,
de controle, podem ser injetados dentro da string de argumentos da
função mail(). Se argumentos para função mail() são pegos da entrada
de dados do usuário, eles dão a ele a capacidade de alterar o conteúdo
das mensagens incluindo o cabeçalho do e-mail.
Ulf Harnhammar descobriu que file() e fopen() são vulneráveis a injeção
de CRLF. Um atacante pode usar ele para escapar de certas restrições e
adicionar textos arbitrários na requisição HTTP que é enviada.
Entretanto isso só acontece se alguma coisa é passada para essas funções,
que não sejam nome de arquivo e nem url válidos. Qualquer string que
contenha caracteres de controle não é uma url valida. Antes de você passar
uma string que deve ser uma url para qualquer função você tem que usar
urlencode() para codifica-la.
Três problemas foram identificados no PHP:
1. A função mail() pode permitir que cabeçalhos de emails arbitrários
sejam especificados se um endereço ou assunto contenham caracteres
CR/LF.
2. A função mail() não desabilita corretamente a passagem do opções de
linha de comando arbitrárias ao sendmail quando rodando em modo de
segurança.
3. A função fopen(), quando devolve uma URL, pode permitir a manipulação
dessa requisição para o recurso através de uma URL contendo caracteres
CR/LF. Por exemplo, cabeçalhos podem ser adicionados em uma requisição
HTTP.
Esses problemas foram corrigidos na versão 3.0.18-23.1woody1 para PHP3
e 4.1.2-5 para PHP4 na a atual distribuição estável (woody), na versão
3.0.18-0potato1.2 para PHP3 e 4.0.3pl1-0potato4 para PHP4 na antiga
distribuição estável (potato) e na versão 3.0.18-23.2 para PHP3 e
4.2.3-3 para PHP4 na distribuição instável (sid).
Nós recomendamos que você atualize seus pacotes PHP.
--------------------------------------------------------------------------
Essa é uma tradução do DSA original, enviado para a lista
debian-security-announce@lists.debian.org. Caso queira receber os
alertas em inglês e minutos depois de sua publicação, inscreva-se na
lista acima, através do endereço:
http://www.debian.org/MailingLists/subscribe#debian-security-announce
--------------------------------------------------------------------------
Henrique Pedroni Neto - kirkham <henrique@ital.org.br>
*******************************************************************
.''`. Debian Weekly News: <http://www.debian.org/News/weekly>
: :' : Debian BR.........: <http://debian-br.cipsga.org.br>
`. `'` Equipe de Imprensa e Traduções do Debian-BR
`- O que você quer saber hoje?
*******************************************************************
Se você tiver notícias interessantes para serem publicadas,
envie-nas para <debian-br-imprensa@listas.cipsga.org.br>.
Attachment:
pgpwLTvSOLtDu.pgp
Description: PGP signature