Fecha de publicación:
05/02/2016

Recursos afectados

  • Versiones de la rama 5.6 anteriores a la 5.6.18
  • Versiones de la rama 5.5 anteriores a la 5.5.32

Descripción

PHP ha publicado las versiones 5.6.18 y 5.5.32 que corrigen múltiples vulnerabilidades en distintos componentes del software, incluidas algunas en el core.

Solución

  • Los sistemas de la rama 5.6 deben actualizar a la 5.6.18
  • Los sistemas de la rama 5.5 deben actualizar a la 5.5.32

Detalle

Las actualizaciones solucionan diferentes errores, entre los que destacan:

  • Funciones de ejecución que ignoran la longitud de PHP: las funciones definidas en ext/standard/exec.c que trabajan con cadenas ignoran la longitud de la cadena PHP, asignando en su lugar terminaciones “NULL”.
  • Asignación incorrecta de datos en stream_get_meta_data: el valor devuelto por stream_get_meta_data se compone de distintos campos con valores determinados y otros de php_stream_populate_meta_data. Si php_stream_populate_meta_data escribe en campos cuyos valores no han sido prefijados, puede provocar que un php_stream complete los metadatos con cualquier valor que suministre el usuario.
  • Desbordamiento de enteros en iptcembed(): la ejecución de un fichero PHP puede provocar un desbordamiento en el módulo ext/standard/iptc.c.

Referencias

X