Actualizaciones de PHP resuelven múltiples vulnerabilidades
Fecha de publicación:
20/03/2015
Importancia:
4 -
Alta
Recursos afectados:
- Versiones de la rama 5.6 de PHP anteriores a la 5.6.7.
- Versiones de la rama 5.5 de PHP anteriores a la 5.5.23.
- Versiones de la rama 5.4 de PHP anteriores a la 5.4.39.
Descripción:
PHP ha publicado las versiones 5.4.39, 5.5.23 y 5.6.7, que corrige múltiples fallos en distintos componentes del software, incluido el core.
Solución:
- Los sistemas con la rama 5.6 de PHP deben actualizar a la versión 5.6.7.
- Los sistemas con la rama 5.5 de PHP deben actualizar a la versión 5.5.23.
- Los sistemas con la rama 5.4 de PHP deben actualizar a la versión 5.4.39.
Detalle:
La actualización soluciona múltiples errores, entre los que destacan las siguientes vulnerabilidades:
- Uso de memoria ya liberada (Use After Free) en la función unserialize() que permite la ejecución de código de forma arbitraria. Esta vulnerabilidad tiene reservado el identificador CVE-2015-0231.
- Desbordamiento de pila en la extensión ERE que permite la ejecución de código de forma arbitraria mediante el envío de mensajes especialmente preparados. Esta vulnerabilidad tiene reservado el identificador CVE-2015-2305.
- Desbordamiento de enteros al abrir archivos ZIP con un alto número de entradas. Este desbordamiento provoca la escritura fuera de los limites de la pila y la parada de PHP. Esta vulnerabilidad tiene reservado el identificador CVE-2015-2331.
Referencias:
Etiquetas: