Actualizaciones de PHP 5.6.18 y 5.5.32
PHP ha publicado las versiones 5.6.18 y 5.5.32 que
corrigen múltiples vulnerabilidades en distintos componentes del software,
incluidas algunas en el core, datalogadas de importancia: 4 - Alta
Recursos afectados
- Versiones de la rama 5.6 anteriores a la 5.6.18
- Versiones de la rama 5.5 anteriores a la 5.5.32
Recomendación
- Los sistemas de la rama 5.6 deben actualizar a la 5.6.18
- Los sistemas de la rama 5.5 deben actualizar a la 5.5.32
Detalle e Impacto potencial de las vulnerabilidades
ahora corregidas
Las
actualizaciones solucionan diferentes errores, entre los que destacan:
- Funciones de ejecución que ignoran la
longitud de PHP:
las funciones definidas en ext/standard/exec.c que trabajan con cadenas ignoran
la longitud de la cadena PHP, asignando en su lugar terminaciones
"NULL".
- Asignación incorrecta de datos en
stream_get_meta_data:
el valor devuelto por stream_get_meta_data se compone de distintos campos con
valores determinados y otros de php_stream_populate_meta_data. Si
php_stream_populate_meta_data escribe en campos cuyos valores no han sido
prefijados, puede provocar que un php_stream complete los metadatos con
cualquier valor que suministre el usuario.
- Desbordamiento de enteros en
iptcembed(): la
ejecución de un fichero PHP puede provocar un desbordamiento en el módulo
ext/standard/iptc.c.
Más información
Fuente: Hispasec