El código de las funciones htmlspecialchars y htmlentities contienen un desbordamiento de memoria intermedia. Un usuario remoto podría proporcionar datos especialmente manipulados a una aplicación que use las funciones afectadas y, potencialmente, ejecutar código arbitrario. Para realizar un ataque con éxito el conjunto de caracteres UTF-8 debe estar activado.
La nueva versión 5.2.0, además, resuelve otros potenciales problemas de seguridad en la extensión cURL, que podrían servir para eludir las restricciones de safe_mode y open_basedir. También, y sólo para sistemas de 64 bits, pueden existir problemas en las funciones str_repeat y wordwrap que permitan la ejecución de código arbitrario. Por último, un fallo en la función tempnam permitiría crear ficheros temporales arbitrarios en cualquier directorio saltándose las restricciones de open_basedir.
La actualización rompe con la rama 5.1.0 y según php.net, debe ser aplicada por todos los usuarios tan pronto como sea posible, pues mejora además problemas de estabilidad y seguridad en general. Tanto la rama 4.x como la 5.x se ven afectadas.
Existe prueba de concepto para la primera y más importante vulnerabilidad. Debido a que potencialmente este problema podría suscitar la aparición de gusanos PHP (de los que desafortunadamente ya existen varios), se recomienda descargar e instalar la versión 5.2.0 desde http://www.php.net/releases/5_2_0.php
Hasta ahora ejercía como director de Grandes Cuentas. En el pasado trabajó para Veritas, Symantec…
Con Clumio Backtrack permite revertir objetos almacenados en Amazon S3 a una versión específica en…
Según Ookla, los mercados móviles de la Unión Europea con tres jugadores tienen velocidades de…
Los modelos 27B2G5500, 24B2G5200 y 27B2G5200 cuentan con tecnología PowerSensor que activa el modo ahorro…
Red Hat ha anunciado una versión preliminar de Red Hat OpenShift Lightspeed que permite aprovechar…
Acumuló 2.160 millones de dólares durante el tercer trimestre de su ejercicio 2025, de los…