Cabecera-v2-web.jpg

Vulnerabilidad de desbordamientos de enteros en PHP 7 permitiría una denegación de servicio


Screen_Shot_2020-05-19_at_9.26.25_AM.png

Recientemente fue descubierta una vulnerabilidad en PHP que afecta a versiones anteriores a la 7.4.6, identificada y catalogada como CVE-2019-11048 de criticidad alta.

Este fallo se encuentra en php-src/main/rfc1867.c cuando se realiza la subida de un archivo con un nombre muy grande, lo que podría llevar a un desbordamiento de enteros y seguidamente a un bloqueo del sistema afectado.

Sabiendo esto, un atacante podría subir varios archivos al mismo tiempo con el fin de hacer provecho del fallo, como ninguno de los archivos temp anteriores serán eliminados podría llenar el disco, conllevando a un ataque de denegación de servicio (DoS).

Recomendaciones:

Referencias:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11