- Fecha de publicación:
- 05/02/2016
Recursos afectados
- Versiones de la rama 5.6 anteriores a la 5.6.18
- Versiones de la rama 5.5 anteriores a la 5.5.32
Descripción
PHP ha publicado las versiones 5.6.18 y 5.5.32 que corrigen múltiples vulnerabilidades en distintos componentes del software, incluidas algunas en el core.
Solución
- Los sistemas de la rama 5.6 deben actualizar a la 5.6.18
- Los sistemas de la rama 5.5 deben actualizar a la 5.5.32
Detalle
Las actualizaciones solucionan diferentes errores, entre los que destacan:
- Funciones de ejecución que ignoran la longitud de PHP: las funciones definidas en ext/standard/exec.c que trabajan con cadenas ignoran la longitud de la cadena PHP, asignando en su lugar terminaciones «NULL».
- Asignación incorrecta de datos en stream_get_meta_data: el valor devuelto por stream_get_meta_data se compone de distintos campos con valores determinados y otros de php_stream_populate_meta_data. Si php_stream_populate_meta_data escribe en campos cuyos valores no han sido prefijados, puede provocar que un php_stream complete los metadatos con cualquier valor que suministre el usuario.
- Desbordamiento de enteros en iptcembed(): la ejecución de un fichero PHP puede provocar un desbordamiento en el módulo ext/standard/iptc.c.
