Inicio / Alerta Temprana / Avisos Seguridad / Nueva versión de PHP corrige importante vulnerabilidad en su versión de openssl

Nueva versión de PHP corrige importante vulnerabilidad en su versión de openssl

Fecha de publicación: 
13/12/2013
Importancia: 
5 - Crítica
Recursos afectados: 

Sistemas y productos que utilicen versiones de PHP 5.5.x anteriores a 5.5.7, 5.4.x anteriores a 5.4.23 y 5.3.x anteriores a 5.3.28.

Descripción: 

Un fallo de corrupción de memoria en la extensión para openssl de PHP al analizar certificados X.509 podría causar la caída de aplicaciones o permitir a atacantes ejecutar código arbitrario.

Solución: 

Las versiones 5.5.7, 5.4.23 y 5.3.28 de PHP corrigen esta vulnerabilidad. Para solucionarla, los sistemas o productos afectados deben actualizar a la versión correspondiente.

Detalle: 

Se ha encontrado un fallo en el análisis de certificados X.509 realizado por la función openssl_x509_parse() en la extensión para openssl de PHP. Un atacante remoto podría utilizar este fallo para proporcionar a una aplicación PHP un certificado malicioso autofirmado o un certificado firmado por una autoridad confiable, provocando la caída de la aplicación o, posiblemente, permitir al atacante ejecutar código arbitrario con privilegios del usuario ejecutando el intérprete de PHP.

La vulnerabilidad asociada tiene asignado el CVE-2013-6420.

Etiquetas: