Se
han publicado las actualizaciones para
las ramas 5.5, 5.6 y 7.0 de PHP que solucionan diversas vulnerabilidades,
entre ellas la famosa HTTPoxy.
Estas actualizaciones corrigen
fallos que podrían ser explotados para provocar
denegaciones de servicio y afectar a la confidencialidad. En concreto, se
solucionan desbordamientos de memoria en virtual_file_ex,
_gdContributionsAlloc(), simplestring_addn y php_stream_zip_opener. Errores de
uso de memoria tras liberación en unserialize(), accesos fuera de límite en
locale_accept_from_http y exif_process_IFD_in_MAKERNOTE y acceso a archivos
arbitrarios a través de gdImageTrueColorToPaletteBody. Estas vulnerabilidades
no tienen código CVE asignado.
Además se soluciona la
vulnerabilidad conocida como HTTPoxy,
que podría permitir a un atacante remoto redirigir todo el tráfico HTTP a un
proxy bajo su control, lo que facilitaría el espiar o modificar todas las
conexiones que realice el servidor (CVE-2016-5385).
Como siempre, se recomienda
actualizar cuanto antes a las últimas versiones 7.0.9, 5.6.24 y 5.5.38 desde http://www.php.net/downloads.php
Más información:
PHP ChangeLog
Version 7.0.9
Version 5.6.24
Version 5.5.38
una-al-dia (20/07/2016) ¿Colega,
dónde está mi Proxy?
Francisco Salido
No hay comentarios:
Publicar un comentario