El equipo de desarrollo de PHP ha lanzado nuevas actualizaciones para las versiones de la rama PHP 5.4, PHP 5.5 y PHP 5.6. En concreto, las nuevas versiones que corrigen múltiples fallos en distintos componentes del software, incluido el propio núcleo, son las PHP 5.4.38, PHP 5.5.22 y PHP 5.6.6.
Estas nuevas actualizaciones de PHP solucionan múltiples fallos que tienen todas las versiones anteriores del software, además se corrigen vulnerabilidades graves de seguridad como GHOST que tiene CVE-2015-0235, esta vulnerabilidad crítica ha estado en el kernel de Linux desde hace 14 años y permitiría a un atacante remoto ejecutar código arbitrario dentro de la memoria del sistema, esto es debido a que un atacante puede generar un desbordamiento de búfer mediante un nombre de host inválido. Esta vulnerabilidad se ha catalogado como crítica ya que también permite hacerse con el control total del sistema.
Anteriormente en RedesZone os hemos hablado de esta vulnerabilidad y cómo comprobar si nuestro equipo Linux está afectado:
- GHOST, una vulnerabilidad crítica en el kernel de Linux desde hace 14 años
- Cómo comprobar si nuestro equipo Linux está afectado por la vulnerabilidad GHOST
Además de este fallo de seguridad, también se ha solucionado la vulnerabilidad CVE-2015-0273 que afecta a la función unserialize() con DateTimeZone, esto se debe a que después de liberar la memoria, esta función permitiría establecer referencias a la memoria ya liberada, por lo que se podría ejecutar código arbitrario.
Otros cambios importantes de estas nuevas versiones de PHP es que se ha retirado el soporte para cabeceras multi línea (multi-line headers) ya que según el RFC 7230 es una función «deprecated» y no se debe seguir utilizando, asimismo también se ha agregado un byte NULL de protección para exec, system y passthru.
Os recomendamos visitar la página web oficial de PHP donde encontraréis un completo listado de cambios de la última versión disponible de cada rama.