[AsteriskBrasil] Vulnerabilidade PHP

Quarta Fevereiro 1 07:37:00 BRST 2012

Srs,

Eu já atualizei.

1)      Crie um repo para um centos completo e coloque uma instrução para não atualizar para 5.3 eu queria instalar 5.2

exclude = php*5.3* (Fonte: http://en.ispdoc.com/index.php/Updating_PHP_in_CentOS_Linux)

2)      Depois de atualizar baixe também o pacote php-process (Fonte: http://www.elastix.org/component/kunena/31/39393/)

Obrigado a todos.

From: asteriskbrasil-bounces em listas.asteriskbrasil.org [mailto:asteriskbrasil-bounces em listas.asteriskbrasil.org] On Behalf Of Mazolini, Jose
Sent: terça-feira, 31 de janeiro de 2012 14:42
To: asteriskbrasil em listas.asteriskbrasil.org
Subject: [AsteriskBrasil] Vulnerabilidade PHP

SRs,

Eu uso o Elastix e foi detectada uma vulnerabilidade que precisava corrigir.
Gostaria de saber se é possível corrigir através de atualizações do Elastix ou vou ter que fazer a atualização manualmente.

Vulnerabilidade:
PHP imap_mail_compose() Stack Buffer Overflow Vulnerability
CVE-2007-1825
CVSS 8.0

Processo utilizado para Identificação:
Foundstone VA (Interno)

Ameaça:
PHP é uma linguagem web popular de programação e script.

A vulnerabilidade de buffer overflow está presente em algumas versões do PHP. Um erro de validação de entrada na função imap_mail_compose permite um estouro de buffer de pilha, quando uma seqüência de string longa de "fronteira" é transformada para um campo type.parameters. A exploração bem sucedida poderia permitir que invasores executem código arbitrário no contexto do servidor web afetado.

Impacto:
Fornece o acesso não autorizado; Permite violação parcial de confidencialidade, integridade e disponibilidade; Permite a divulgação não autorizada de informações; Permite interrupção do serviço.

Solução:
Para os usuários do PHP 4.x, atualizar para a versão 4.4.5 ou posterior.
Para os usuários do PHP 5.x, atualizar para a versão 5.2.1 ou posterior.

PHP está disponível aqui:

http://www.php.net/
_____________
A informação contida nesta mensagem é confidencial e proprietária. Se você recebeu este e-mail por engano, por favor: (i) apague a mensagem e todas as suas cópias e anexos; (ii) não revele, distribua ou utilize a mensagem ou seu conteúdo de qualquer maneira; e (iii) notifique o remetente imediatamente. Adicionalmente, por favor esteja informado de que qualquer mensagem endereçada ao nosso domínio está sujeita ao arquivamento e leitura por outros membros da companhia, além do próprio destinatário da mensagem. Obrigado.

The information contained in this message is proprietary and/or confidential. If you are not the intended recipient, please: (i) delete the message and all copies; (ii) do not disclose, distribute or use the message in any manner; and (iii) notify the sender immediately. In addition, please be aware that any message addressed to our domain is subject to archiving and review by persons other than the intended recipient. Thank you.

_____________
A informação contida nesta mensagem é confidencial e proprietária. Se você recebeu este e-mail por engano, por favor: (i) apague a mensagem e todas as suas cópias e anexos; (ii) não revele, distribua ou utilize a mensagem ou seu conteúdo de qualquer maneira; e (iii) notifique o remetente imediatamente. Adicionalmente, por favor esteja informado de que qualquer mensagem endereçada ao nosso domínio está sujeita ao arquivamento e leitura por outros membros da companhia, além do próprio destinatário da mensagem. Obrigado.

The information contained in this message is proprietary and/or confidential. If you are not the intended recipient, please: (i) delete the message and all copies; (ii) do not disclose, distribute or use the message in any manner; and (iii) notify the sender immediately. In addition, please be aware that any message addressed to our domain is subject to archiving and review by persons other than the intended recipient. Thank you.
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20120201/dfbc317a/attachment-0001.htm 