Múltiples vulnerabilidades en PHP
viernes, 22 de julio de 2016
Se han publicado las actualizaciones para las ramas 5.5, 5.6 y 7.0 de PHP que solucionan diversas vulnerabilidades, entre ellas la famosa HTTPoxy.
Estas actualizaciones corrigen fallos que podrían ser explotados para provocar denegaciones de servicio y afectar a la confidencialidad. En concreto, se solucionan desbordamientos de memoria en virtual_file_ex, _gdContributionsAlloc(), simplestring_addn y php_stream_zip_opener. Errores de uso de memoria tras liberación en unserialize(), accesos fuera de límite en locale_accept_from_http y exif_process_IFD_in_MAKERNOTE y acceso a archivos arbitrarios a través de gdImageTrueColorToPaletteBody. Estas vulnerabilidades no tienen código CVE asignado.
Además se soluciona la vulnerabilidad conocida como HTTPoxy, que podría permitir a un atacante remoto redirigir todo el tráfico HTTP a un proxy bajo su control, lo que facilitaría el espiar o modificar todas las conexiones que realice el servidor (CVE-2016-5385).
Como siempre, se recomienda actualizar cuanto antes a las últimas versiones 7.0.9, 5.6.24 y 5.5.38 desde http://www.php.net/downloads.php
Más información:
PHP ChangeLog
Version 7.0.9
http://php.net/ChangeLog-7.php#7.0.9
Version 5.6.24
http://php.net/ChangeLog-5.php#5.6.24
Version 5.5.38
http://php.net/ChangeLog-5.php#5.5.38
una-al-dia (20/07/2016) ¿Colega, dónde está mi Proxy?
http://unaaldia.hispasec.com/2016/07/colega-donde-esta-mi-proxy.html
Francisco Salido
