El equipo de desarrollo de PHP ha publicado actualizaciones para las ramas 7.0 y 5.6 de PHPpara solucionar múltiples vulnerabilidades que pueden ser aprovechadas para provocar denegaciones de servicio e incluso comprometer los sistemas afectados. 

Son múltiples las vulnerabilidades corregidas, aunque ninguna de ellas tiene asignado CVE. En el propio núcleo de PHP los problemas incluyen, entre otros, un desbordamiento de búfer en virtual_popen de zend_virtual_cwd.c, lectura fuera de límites por password_verify, escritura fuera de límites en number_format o uso de memoria después de liberarla en unserialize().

Además del núcleo se ven afectados un gran número de componentes: BCmath, COM, Date, DOM, Filter, GD, Intl, Mbstring, Mysqlnd, Opcache, OpenSSL, PCRE, PDO_DBlib, phpdbg, Session, SimpleXML, SOAP, SPL y Zip. Además en PHP 7 se ha actualizado SQLite3 a la versión 3.14.2.

Se recomienda actualizar a las nuevas versiones 7.0.12y 5.6.27 desde

http://www.php.net/downloads.php

PHP 7 ChangeLog

Antonio Ropero

Twitter: @aropero