VULNERABILITÀ PHP: ATTACCO DOS SUL SERVER STESSO TRAMITE CARICAMENTO DI FILE CON NOME FILE TROPPO LUNGO

VULNERABILITÀ PHP: ATTACCO DOS SUL SERVER STESSO TRAMITE CARICAMENTO DI FILE CON NOME FILE TROPPO LUNGO

ID CVE : CVE-2019-11048

Descrizione

La vulnerabilità consente a un utente malintenzionato remoto di eseguire un attacco denial of service (DoS).

La vulnerabilità è dovuta al modo in cui PHP gestisce nomi di file lunghi o nomi di campi durante il caricamento dei file. Un utente malintenzionato remoto può fornire un nome file troppo lungo all'applicazione che condurrà il motore PHP a tentare di allocare memoria di grandi dimensioni, raggiungere il limite di memoria e interrompere l'elaborazione della richiesta, senza ripulire i file temporanei creati dalla richiesta di caricamento. Ciò comporterà l'accumulo di file temporanei non ripuliti esaurendo lo spazio su disco sul server di destinazione.

Soluzione

Installa gli aggiornamenti dal sito Web del fornitore.

Versioni del software vulnerabili

PHP: 7.2.0, 7.2.1, 7.2.2, 7.2.3, 7.2.4, 7.2.5, 7.2.6, 7.2.7, 7.2.8, 7.2.9, 7.2.10, 7.2.11, 7.2.12, 7.2.13, 7.2.14, 7.2.15, 7.2.16, 7.2.17, 7.2.18, 7.2.19, 7.2.20, 7.2.21, 7.2.22, 7.2.23, 7.2. 24, 7.2.25, 7.2.26, 7.2.27, 7.2.28, 7.2.29, 7.2.30, 7.3.0, 7.3.0alpha1, 7.3.0alpha4, 7.3.0beta1, 7.3.0beta3, 7.3.1, 7.3.2, 7.3.3, 7.3.4, 7.3.5, 7.3.6, 7.3.7, 7.3.8, 7.3.9, 7.3.10, 7.3.11, 7.3.12, 7.3.13, 7.3. 14, 7.3.15, 7.3.16, 7.3.17, 7.4.0, 7.4.1, 7.4.2, 7.4.3, 7.4.4, 7.4.5

Posted on

Author L'autore

Dario Fadda alias {Nuke}

Da sempre appassionato di informatica e del mondo open-source nel 2003 ho fondato il portale Spcnet.it per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo dei computers, con particolare attenzione alle tematiche di Sicurezza informatica, Malware e Ransomware, ma anche guide di Programmazione e utili suggerimenti per tutte le fasce di interesse.
Dal 2006 sono membro del Gulch (Gruppo Utenti Linux Cagliari), con cui cerco di dare il mio contributo attivo per eventi e LinuxDay.
Su Twitter segnalo e condivido nuovi Phishing pericolosi con approfondimenti sul Bank Security.

Ho ideato Hacker Alert per effettuare ricerche di vulnerabilità e phishing in tempo reale.

Praticamente per tutto ciò che scopro e che è degno di nota ne condivido il codice sorgente su Git Hub.
Per tutto il resto c'è Dario Fadda .it che contiene "quasi" tutto di me.