HTTPoxy: vulnerabilidad PHP y CGI (HTTP_PROXY)

Tenemos recién salida del horno una nueva vulnerabilidad (HTTPoxy) con caracter crítico que afecta a servidores web que sirven PHP y CGI principalmente, aunque afecta también a otros lenguajes de scripting. El origen del problema es la variable HTTP_PROXY. El ataque consiste en enviar una petición HTTP que contenga en las cabeceras la información de Seguir leyendo


Cómo instalar PHP mcrypt en CentOS 7

En los repositorios oficiales de CentOS 7 (RHEL 7, Fedora, Scientific Linux), al igual que ocurría en CentOS 6, no existe el paquete rpm para instalar el módulo de PHP mcrypt. Para poder instalar este módulo sin necesidad de compilar es necesario instalar el repositorio epel y a continuación ya podremos instalar el módulo php-mcrypt Seguir leyendo


Apache WebDAV interpreta los ficheros PHP al descargarlos

Un problema muy común a la hora de implementar WebDAV con Apache + PHP es que si no realizamos una configuración adicional, al intentar descargar un fichero .php desde webdav lo que descagaremos será el código interpretado y no el código fuente del fichero. Para solucionarlo podemos establecer la solución que vemos en el virtualhost Seguir leyendo


Vulnerabilidad crítica en instalaciones de PHP basadas en CGI

Todas las instalaciones de PHP en modo CGI están afectadas, al parecer se trata de una vulnerabilidad de la cual nadie se había dado cuenta en nada menos que ocho años. Básicamente, la vulnerabilidad consiste en que en este tipo de instalaciones (sólo CGI, FastCGI o DSO no se ven afectadas), si la petición/request contiene Seguir leyendo


Instalación y configuración de suPHP

He hablado varias veces sobre configuraciones y posibles errores de suPHP pero nunca sobre el modo de instalarlo. Para quienes no lo sepan, suPHP es un módulo de Apache y a su vez una utilidad independiente que permite que los scripts PHP se ejecuten con el usuario propietario del script. Así mismo, permite establecer restricciones Seguir leyendo


Instalar php-mbstring en RHEL 6 por yum

Hoy toca una entrada rápida. Si tenéis que instalar el módulo php mb-strings por yum/rpm en RHEL 6 de primeras veréis que el paquete no está disponible en los repositorios oficiales. Esto es porque hay que activar el repositorio opcional desde la Red Hat Network. Para ello acceded a http://rhn.redhat.com con vuestro usuario y password. Seguir leyendo