Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
19/12/2013
S’ha trobat una fallada en l’anàlisi de certificats X.509 realitzat per la funció openssl_x509_parse() en l’extensió per a openssl de PHP. Un atacant remot podria utilitzar esta fallada per a proporcionar a una aplicació PHP un certificat maliciós autofirmat o un certificat firmat per una autoritat confiable cosa que provocaria la caiguda de l’aplicació o, possiblement, permetria a l’atacant executar codi arbitrari amb privilegis de l’usuari executant l’intèrpret de PHP.
Sistemes Afectats:Sistemes i productes que utilitzen versions de PHP 5.5.x anteriors a 5.5.7, 5.4.x anteriors a 5.4.23 i 5.3.x anteriors a 5.3.28.
Referències:CVE-2013-6420
Solució:Les versions 5.5.7, 5.4.23 i 5.3.28 de PHP corregixen esta vulnerabilitat. Per a solucionar-la, els sistemes o productes afectats han d’actualitzar la versió corresponent.
Notes:PHP ChangeLog - Version 5.5.7
CVE-2013-6420 Red Hat security Advisories