CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

19/12/2013

Nova versió de PHP corregix important vulnerabilitat en la seua versió d'openssl

Un error de corrupció de memòria en l’extensió per a openssl de PHP a l’analitzar certificats X.509 podria causar la caiguda d’aplicacions o permetre a atacants executar codi arbitrari.

Risc: Crític

S’ha trobat una fallada en l’anàlisi de certificats X.509 realitzat per la funció openssl_x509_parse() en l’extensió per a openssl de PHP. Un atacant remot podria utilitzar esta fallada per a proporcionar a una aplicació PHP un certificat maliciós autofirmat o un certificat firmat per una autoritat confiable cosa que provocaria la caiguda de l’aplicació o, possiblement, permetria a l’atacant executar codi arbitrari amb privilegis de l’usuari executant l’intèrpret de PHP.

Sistemes Afectats:

Sistemes i productes que utilitzen versions de PHP 5.5.x anteriors a 5.5.7, 5.4.x anteriors a 5.4.23 i 5.3.x anteriors a 5.3.28.

Referències:

CVE-2013-6420

Solució:

Les versions 5.5.7, 5.4.23 i 5.3.28 de PHP corregixen esta vulnerabilitat. Per a solucionar-la, els sistemes o productes afectats han d’actualitzar la versió corresponent.

Notes:

PHP ChangeLog - Version 5.5.7
CVE-2013-6420 Red Hat security Advisories

Font: Inteco-CERT

CSIRT-CV