El equipo de desarrollo de PHP ha
publicado actualizaciones para las ramas 5.6, 5.5 y 5.4 de PHP para solucionar
tres vulnerabilidades que pueden ser aprovechadas para provocar denegaciones de
servicio e incluso comprometer los sistemas afectados.
Se ha
solucionado una vulnerabilidad, con CVE-2014-3669, de desbordamiento de enteros
en la función "unserialize()"que podría dar lugar a una denegación de
servicio. Este problema solo afecta a instalaciones sobre 32 bits. Otra
vulnerabilidad de corrupción de memoria, con CVE-2014-3670, en
"exif_thumbnail()" que podría permitir la ejecución de código
arbitrario si un usuario abre una imagen jpeg específicamente creada. Por
último, un desbordamiento de búfer en la función "mkgmtime()"
(CVE-2014-3668).
Recomendación
- Se recomienda actualizar cuanto antes a las nuevas versiones 5.6.2, 5.5.18 y 5.4.34 desde http://www.php.net/downloads.php
- PHP 5 ChangeLog http://php.net/ChangeLog-5.php
Fuente:
Hispasec