Alerta: Lanzan Parches de Seguridad en PHP


El día de ayer el equipo de seguridad de PHP, publicó los parches de seguridad en los cuales se reparan varias vulnerabilidades detectadas, dentro de ella la vulnerabilidad CVE-2018-5712, la cual permitía realizar XSS al llamar la función "phar_do_404()".

Otra de las vulnerabilidades parchadas, incluye un bug en el módulo LDAP, el cual permitía que un Servidor Malicioso o un ataque de hombre en el medio, lograra hacer crash en PHP. Al recibir la respuesta del servidor a través de ldap_get_entries, el dn actual se obtiene utilizando ldap_get_dn (). Una respuesta de servidor especialmente diseñada puede hacer que ldap_get_dn () devuelva un puntero NULL que causa un bloqueo en ldap_get_entries () porque add_assoc_string () no puede manejar punteros NULL.


Recursos afectados:

  • PHP versiones 7.2.x
  • PHP versiones 7.1.x
  • PHP versiones 7.0.x
  • PHP versiones 5.6.x


Descripción:

Se han publicado diferentes versiones de PHP que solucionan múltiples vulnerabilidades de seguridad.


Solución:

Actualizar PHP según la rama de producto instalada a una de las siguientes versiones:
  • PHP 7.2.5
  • PHP 7.1.17
  • PHP 7.0.30
  • PHP 5.6.36


Detalle:

Las actualizaciones solucionan múltiples fallos en las versiones afectadas, incluyendo la corrección de las siguientes vulnerabilidades:
  • Desbordamiento de búfer de pila de memoria dinámica (heap).
  • Cierre inesperado debido a respuesta LDAP especialmente diseñada.
  • CVE-2018-5712 está totalmente corregido.

Referencias:
PHP 5 ChangeLog Version 5.6.36
PHP 7 ChangeLog Version 7.1.17
https://www.certsi.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-php