jueves, 20 de octubre de 2016

Nuevas versiones de PHP corrigen múltiples vulnerabilidades

El equipo de desarrollo de PHP ha publicado actualizaciones para las ramas 7.0 y 5.6 de PHP para solucionar múltiples vulnerabilidades que pueden ser aprovechadas para provocar denegaciones de servicio e incluso comprometer los sistemas afectados. 

Son múltiples las vulnerabilidades corregidas, aunque ninguna de ellas tiene asignado CVE. En el propio núcleo de PHP los problemas incluyen, entre otros, un desbordamiento de búfer en virtual_popen de zend_virtual_cwd.c, lectura fuera de límites por password_verify, escritura fuera de límites en number_format o uso de memoria después de liberarla en unserialize().

Además del núcleo se ven afectados un gran número de componentes: BCmath, COM, Date, DOM, Filter, GD, Intl, Mbstring, Mysqlnd, Opcache, OpenSSL, PCRE, PDO_DBlib, phpdbg, Session, SimpleXML, SOAP, SPL y Zip. Además en PHP 7 se ha actualizado SQLite3 a la versión 3.14.2.

Se recomienda actualizar a las nuevas versiones 7.0.12 y 5.6.27 desde
http://www.php.net/downloads.php

Más información:

PHP 7 ChangeLog
Version 7.0.12
http://www.php.net/ChangeLog-7.php#7.0.12

PHP 5 ChangeLog
Version 5.6.27
http://www.php.net/ChangeLog-5.php#5.6.27




Antonio Ropero
antonior@hispasec.com

Twitter: @aropero
Etiquetas: ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017