Cabecera-v2-web.jpg

Múltiples vulnerabilidades en PHP


Se han publicado las actualizaciones para las ramas 5.5, 5.6 y 7.0 de PHP que solucionan diversas vulnerabilidades, entre ellas la famosa HTTPoxy.

Estas actualizaciones corrigen fallos que podrí­an ser explotados para provocar denegaciones de servicio y afectar a la confidencialidad. En concreto, se solucionan desbordamientos de memoria en virtual_file_ex, _gdContributionsAlloc(), simplestring_addn y php_stream_zip_opener. Errores de uso de memoria tras liberación en unserialize(), accesos fuera de lí­mite en locale_accept_from_http y exif_process_IFD_in_MAKERNOTE y acceso a archivos arbitrarios a través de gdImageTrueColorToPaletteBody. Estas vulnerabilidades no tienen código CVE asignado.

Además se soluciona la vulnerabilidad conocida como HTTPoxy, que podrí­a permitir a un atacante remoto redirigir todo el tráfico HTTP a un proxy bajo su control, lo que facilitarí­a el espiar o modificar todas las conexiones que realice el servidor (CVE-2016-5385).

Como siempre, se recomienda actualizar cuanto antes a las últimas versiones 7.0.9, 5.6.24 y 5.5.38 desde http://www.php.net/downloads.php


Fuente: hispasec.com


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11