Fallo de corrupción de memoria en la extensión para openssl de PHP al analizar certificados X.509 podría causar la caída de aplicaciones o permitir a atacantes ejecutar código arbitrario. Nivel de importarcía asignado es crítico.
Recursos afectados
Sistemas y productos que utilicen versiones de PHP:
- 5.5.x anteriores a 5.5.7
- 5.4.x anteriores a 5.4.23
- 5.3.x anteriores a 5.3.28
Detalle e Impacto potencial de la vulnerabilidad corregida
- La vulnerabilidad asociada tiene asignado el CVE-2013-6420, consiste en un fallo en la función openssl_x509_parse() en la extensión para openssl de PHP que no realiza correctamente el análisis de certificados X.509,
- Este fallo posibilita que un atacante remoto lo utilizase para proporcionar a una aplicación PHP un certificado malicioso autofirmado o un certificado firmado por una autoridad confiable, provocando la caída de la aplicación o, posiblemente, permitir al atacante ejecutar código arbitrario con privilegios del usuario ejecutando el intérprete de PHP.
- Las versiones 5.5.7, 5.4.23 y 5.3.28 de PHP corrigen esta vulnerabilidad.
- Para solucionarla, los sistemas o productos afectados deben actualizar a la versión correspondiente.
- PHP ChangeLog - Version 5.5.7 http://php.net/ChangeLog-5.php
- CVE-2013-6420 Red Hat security Advisories http://packetstormsecurity.com/files/cve/CVE-2013-6420