Blog WideCom Brasil » Vulnerabilidade http://widecombrasil.com.br/blog Gerenciando Soluções Web Wed, 01 Jun 2011 15:31:07 +0000 en hourly 1 http://wordpress.org/?v=3.2.1 Atualização do PHP http://widecombrasil.com.br/blog/index.php/2011/01/atualizacao-do-php/ http://widecombrasil.com.br/blog/index.php/2011/01/atualizacao-do-php/#comments Tue, 11 Jan 2011 20:02:47 +0000 Thiago Voltolini http://widecombrasil.com.br/blog/?p=104 O bug, de acordo com relatos, acontece apenas em máquinas com alguns processadores Intel de arquitetura 32bits.

Nosso colaborador Ricardo Lobo da Seu Site Imobiliário nos deu o alerta.

Ele aparece ao declarar uma variável com o valor 2.2250738585072011e-308 ou próximo que, segundo o autor do bug report, é o maior número ponto flutuante.
Ao declarar atribuir o valor a uma variável o script entra em um loop e pode permanecer em processamento até o tempo de timeout ser atingido ou pode vir a consumir todo o processamento do servidor, o que é o ponto preocupante.

No dia 30 de dezembro o bug foi reportado ao PHP, no dia 06 de janeiro uma nova atualização do PHP para correção do bug foi lançada e ontem, dia 10, a correção foi confirmada pelos desenvolvedores.
No dia 06 foram lançadas as versões 5.2.17 e 5.3.5 e um script que realiza o teste, indicando se o servidor apresenta ou não o bug, na página de notícias do PHP

Todos os servidores gerenciados pela WideCom Brasil foram testados. Se você não recebeu nenhuma notificação significa que seu servidor não apresentou erro no teste e não apresenta o bug.

Em nossos testes nenhum servidor com PHP na versão 5.2 apresentou o problema, apenas servidores rodando a versão 5.3.x equipados com processadores Intel 32bits.

[Update]

Nos servidores WHM/cPanel as novas versões do PHP ainda não estão disponíveis mas todas as versões 5.x do PHP disponibilizadas no EasyApache foram atualizadas com um patch de correção do bug.
Se seu servidor apresenta o problema, basta compilar sua build novamente, sem necessidade de nenhuma atualização.

Forum cPanel

Maiores detalhes nos links abaixo:
Notícias PHP
PHP :: Bug
Exploring Binary

]]> http://widecombrasil.com.br/blog/index.php/2011/01/atualizacao-do-php/feed/ 0 Atualização do Exim http://widecombrasil.com.br/blog/index.php/2010/12/atualizacao-do-exim/ http://widecombrasil.com.br/blog/index.php/2010/12/atualizacao-do-exim/#comments Fri, 10 Dec 2010 15:09:34 +0000 Thiago Voltolini http://widecombrasil.com.br/blog/?p=57

Uma vulnerabilidade foi encontrada no Exim, o MTA usado pelo cPanel. Um patch de correção já foi aplicado e a versão corrigida liberada para atualização.

De acordo com notícia divulgada pelo desenvolvedora o exploit é um buffer overflow que explora capacidades relacionadas a alteração das configurações em tempo de execução. Isso permite que comandos sejam executados com o usuário que executa o Exim. O problema é que o usuário retém permissões de root quando executado com os parâmetros -D ou -C.

Para solucionar o problema, a nova versão disponibilizada trava os arquivos de configuração em /etc/exim* e também impede que o Exim seja executado com as flags -D e -C

Para conferir a versão atual em seu servidor, utilize o comando:
rpm -qa exim

Todos os servidores WHM/cPanel gerenciados pela WidecomBrasil já foram atualizados com a nova versão do MTA (Exim 4.69-25).

Fonte: Blog Cpanel

]]> http://widecombrasil.com.br/blog/index.php/2010/12/atualizacao-do-exim/feed/ 0