PHP ha publicado las versiones 5.4.39, 5.5.23 y 5.6.7, que corrige múltiples fallos en distintos componentes del software, incluido el core, catalogados de Importancia:4 - Alta
Recursos afectados
- Versiones de la rama 5.6 de PHP anteriores a la 5.6.7.
- Versiones de la rama 5.5 de PHP anteriores a la 5.5.23.
- Versiones de la rama 5.4 de PHP anteriores a la 5.4.39.
La actualización soluciona múltiples errores, entre los que
destacan las siguientes vulnerabilidades:
- Uso de memoria ya liberada (Use After Free) en la función unserialize() que permite la ejecución de código de forma arbitraria. Esta vulnerabilidad tiene reservado el identificador CVE-2015-0231.
- Desbordamiento de pila en la extensión ERE que permite la ejecución de código de forma arbitraria mediante el envío de mensajes especialmente preparados. Esta vulnerabilidad tiene reservado el identificador CVE-2015-2305.
- Desbordamiento de enteros al abrir archivos ZIP con un alto número de entradas. Este desbordamiento provoca la escritura fuera de los limites de la pila y la parada de PHP. Esta vulnerabilidad tiene reservado el identificador CVE-2015-2331.
- Los sistemas con la rama 5.6 de PHP deben actualizar a la versión 5.6.7.
- Los sistemas con la rama 5.5 de PHP deben actualizar a la versión 5.5.23.
- Los sistemas con la rama 5.4 de PHP deben actualizar a la versión 5.4.39.
- PHP 5 ChangeLog http://php.net/ChangeLog-5.php
