Estas actualizaciones corrigen fallos que podrían ser explotados para provocar denegaciones de servicio y afectar a la confidencialidad. En concreto, se solucionan desbordamientos de memoria en virtual_file_ex, _gdContributionsAlloc(), simplestring_addn y php_stream_zip_opener. Errores de uso de memoria tras liberación en unserialize(), accesos fuera de límite en locale_accept_from_http y exif_process_IFD_in_MAKERNOTE y acceso a archivos arbitrarios a través de gdImageTrueColorToPaletteBody. Estas vulnerabilidades no tienen código CVE asignado.

Además se soluciona la vulnerabilidad conocida como HTTPoxy, que podría permitir a un atacante remoto redirigir todo el tráfico HTTP a un proxy bajo su control, lo que facilitaría el espiar o modificar todas las conexiones que realice el servidor (CVE-2016-5385).

Como siempre, se recomienda actualizar cuanto antes a las últimas versiones 7.0.9, 5.6.24 y 5.5.38 desde http://www.php.net/downloads.php

PHP ChangeLog

Version 7.0.9

Version 5.6.24

Version 5.5.38

una-al-dia (20/07/2016) ¿Colega, dónde está mi Proxy?

Francisco Salido