PHP es un lenguaje de programación generalmente utilizado para desarrollar aplicaciones web de uso del lado del servidor muy extendido a través de la web y en gran número de aplicaciones que necesitan comunicarse con un servidor remoto para hacer uso del potencial que ofrece la nube.
La seguridad de todo el software es muy importante, pero la parte relacionada con la conexión remota con servidores es crítica si tenemos en cuenta que se pueden llegar a manejar una gran cantidad de datos personales de todos los usuarios que se conectan a través de la plataforma. Por ello, el equipo de desarrollo de PHP ha lanzado una actualización de seguridad que corrige un total de 3 vulnerabilidades de seguridad que podían causar desde una denegación de servicio hasta tomar el control del sistema afectado.
La primera de estas vulnerabilidades es CVE-2015-0231, un fallo en la función unserialize() que al liberar la memoria podría permitir la ejecución de código remoto en los sistemas afectados.
La segunda de estas vulnerabilidades corresponde con CVE-2014-9427. Este fallo permite a un usuario leer fuera de los límites de la memoria establecida, lo que podría generar una denegación de servicio llegando incluso a dejar sin servicio a todo el servidor.
Para finalizar, la tercera vulnerabilidad corresponde con CVE-2015-0232 y permite liberar un puntero no autorizado al procesar imágenes JPEG con datos EXIF propiamente modificados para acceder a determinados lugares de la memoria del sistema donde poder ejecutar código aleatorio.
Las nuevas versiones actualizadas, que corresponden con PHP 5.6.5, PHP 5.5.21 y PHP 5.4.37 se pueden descargar de forma gratuita desde su página web principal. Es muy importante actualizar lo antes posible a la nueva versión ya que como en otras ocasiones siempre que se publican datos sobre vulnerabilidades los piratas informáticos empiezan a desarrollar exploits para explotarlas de forma remota y poder atacar así a los servidores que aún no han aplicado el parche de seguridad.
¿Eres desarrollador de PHP? ¿Has actualizado ya el programa y sus módulos a la versión más reciente para solucionar dichas vulnerabilidades?