Actualización del lenguaje de programación PHP

CortafuegosSeguridad

Se acaba de publicar la versión 5.1.1 del lenguaje de programación PHP, solucionando varios problemas de seguridad.

PHP (PHP: Hypertext Preprocessor) es un popular lenguaje de scripting de código abierto, muy utilizado para el desarrollo de pequeñas aplicaciones web.

La rama 5.1.*, además de nuevas librerías y retoques en el lenguaje en sí, soluciona diversos problemas de seguridad:

* Nuevas comprobaciones de seguridad en las funciones “image*”.

* Nuevas comprobaciones de seguridad en la librería “cURL”.

* Nuevas comprobaciones de seguridad en la gestión de subida de ficheros al servidor PHP.

* Actualización de seguridad de varios componentes integrados, como las librerías zlib, openssl, curl, y otros.

* Corrupción de memoria en “ImageTTFText()”.

* Corrupción de memoria en “pg_copy_from()”.

* Corrupción de memoria en “stristr()”.

* Varias sobreescrituras posibles de variables globales, bajo ciertas circunstancias.

* Varios problemas de liberación múltiple de memoria.

De momento el equipo de desarrollo PHP no ha indicado si va migrar o no los parches de seguridad a la rama 5.0 pero, juzgando por eventos semejantes anteriores, nos parece dudoso.

Las instalaciones que hayan sido actualizadas a la versión 5.1.0 de PHP deberán realizar una nueva actualización a la 5.1.1, publicada apenas cuatro días después, que soluciona un problema de seguridad en el módulo “cURL” y numerosas regresiones y problemas de estabilidad.

Por lo tanto, Hispasec recomienda la actualización a PHP 5.1.1. Debemos destacar, no obstante, que esta versión puede no ser enteramente compatible con los “scripts” programados para la versión 5.0. Entre los enlaces al final de este boletín encontrarán uno en el que se detallan los cambios necesarios para solucionar incompatibilidades.