Inicio / Alerta Temprana / Avisos Seguridad / Actualizaciones 5.4.1 y 5.3.11 de PHP

Actualizaciones 5.4.1 y 5.3.11 de PHP

Fecha de publicación: 
30/04/2012
Importancia: 
4 - Alta
Recursos afectados: 
Equipos y servidores con PHP instalado.
Descripción: 
Resuelve más de 60 bugs, el más grave permite corromper el array $_FILES. También ha añadido la comprobación open_basedir a las funciones readline_write_history y readline_read_history.
Solución: 

PHP se puede actualizar a través del código fuente, aunque se recomienda instalarlo a través de los mecanismos de actualización de paquetes de Linux. Para sistemas Windows, se puede descargar de la web http://windows.php.net/download/.

Detalle: 

Respecto a la seguridad, introducen las siguientes mejoras:

  • Resuelve la vulnerabilidad CVE-2012-1172, que consiste en una validación insuficiente de los nombres de ficheros enviados al servidor mediante POST, lo que provoca una corrupción del array $_FILES.
  • Se ha añadido la comprobación open_basedir, para evitar que se acceda a archivos que no pertenezcan a un directorio especificado, en las funciones readline_write_history y readline_read_history.

Sólo en la rama 5.3.11:

  • Soluciona la vulnerabilidad CVE-2012-0831, que permite evitar la función magic_quotes_gpc utilizada para filtrar los datos de entrada. Por otra parte, esta función no es recomendable y es mejor utilizar en su lugar otras como addslashes.

En cuanto a otras funcionalidades que resuelven, las más importantes son que se ha añadido información de debug a los objetos DOM y que se ha solucionado el error #61172 que no permitía una configuración automática de PHP en Apache 2.4.

Impacto:

  • Corrupción de la memoria.
  • Acceso a información confidencial.
Etiquetas: