El equipo de desarrollo de PHP ha publicado actualizaciones para las ramas 7.0 y 5.6 de PHP para solucionar múltiples vulnerabilidades que pueden ser aprovechadas para provocar denegaciones de servicio e incluso comprometer los sistemas afectados.
Detalles de las vulnerabilidades
- Son múltiples
las vulnerabilidades corregidas, aunque ninguna de ellas tiene asignado
CVE. En el propio núcleo de PHP los problemas incluyen, entre otros, un
desbordamiento de búfer en virtual_popen de zend_virtual_cwd.c, lectura
fuera de límites por password_verify, escritura fuera de límites en
number_format o uso de memoria después de liberarla en unserialize().
- Además del
núcleo se ven afectados un gran número de componentes: BCmath, COM, Date,
DOM, Filter, GD, Intl, Mbstring, Mysqlnd, Opcache, OpenSSL, PCRE,
PDO_DBlib, phpdbg, Session, SimpleXML, SOAP, SPL y Zip. Además en PHP 7 se
ha actualizado SQLite3 a la versión 3.14.2.
Recomendación
- Se
recomienda actualizar a las nuevas versiones 7.0.12 y 5.6.27 desde http://www.php.net/downloads.php
Más información:
- PHP
7 ChangeLog. Version 7.0.12. http://www.php.net/ChangeLog-7.php#7.0.12
- PHP
5 ChangeLog. Version 5.6.27. http://www.php.net/ChangeLog-5.php#5.6.27