Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
19/12/2013
Nueva versión de PHP corrige importante vulnerabilidad en su versión de openssl
Un fallo de corrupción de memoria en la extensión para openssl de PHP al analizar certificados X.509 podría causar la caída de aplicaciones o permitir a atacantes ejecutar código arbitrario.Se ha encontrado un fallo en el análisis de certificados X.509 realizado por la función openssl_x509_parse() en la extensión para openssl de PHP. Un atacante remoto podría utilizar este fallo para proporcionar a una aplicación PHP un certificado malicioso autofirmado o un certificado firmado por una autoridad confiable, provocando la caída de la aplicación o, posiblemente, permitir al atacante ejecutar código arbitrario con privilegios del usuario ejecutando el intérprete de PHP.
Sistemas Afectados:Sistemas y productos que utilicen versiones de PHP 5.5.x anteriores a 5.5.7, 5.4.x anteriores a 5.4.23 y 5.3.x anteriores a 5.3.28.
Referencias:CVE-2013-6420
Solución:Las versiones 5.5.7, 5.4.23 y 5.3.28 de PHP corrigen esta vulnerabilidad. Para solucionarla, los sistemas o productos afectados deben actualizar a la versión correspondiente.
Notas:PHP ChangeLog - Version 5.5.7
CVE-2013-6420 Red Hat security Advisories