El código de las funciones htmlspecialchars y htmlentities contienen un desbordamiento de memoria intermedia. Un usuario remoto podría proporcionar datos especialmente manipulados a una aplicación que use las funciones afectadas y, potencialmente, ejecutar código arbitrario. Para realizar un ataque con éxito el conjunto de caracteres UTF-8 debe estar activado.
La nueva versión 5.2.0, además, resuelve otros potenciales problemas de seguridad en la extensión cURL, que podrían servir para eludir las restricciones de safe_mode y open_basedir. También, y sólo para sistemas de 64 bits, pueden existir problemas en las funciones str_repeat y wordwrap que permitan la ejecución de código arbitrario. Por último, un fallo en la función tempnam permitiría crear ficheros temporales arbitrarios en cualquier directorio saltándose las restricciones de open_basedir.
La actualización rompe con la rama 5.1.0 y según php.net, debe ser aplicada por todos los usuarios tan pronto como sea posible, pues mejora además problemas de estabilidad y seguridad en general. Tanto la rama 4.x como la 5.x se ven afectadas.
Existe prueba de concepto para la primera y más importante vulnerabilidad. Debido a que potencialmente este problema podría suscitar la aparición de gusanos PHP (de los que desafortunadamente ya existen varios), se recomienda descargar e instalar la versión 5.2.0 desde http://www.php.net/releases/5_2_0.php
Los usuarios denunciaban que la compañía los había rastreado incluso cuando usaban el modo privado…
El Instituto Valenciano de Competitividad Empresarial financiará aquellas iniciativas que puedan solucionar incertidumbres científicas o…
Solo en el cuarto trimestre las empresas emergentes del país han levantado 1.500 millones de…
La región tiene 13 scaleups y destaca por sus empresas emergentes de salud y agrotech.
Valencia ha atraído en el primer semestre del año 30 millones de euros de inversión…
El diario estadounidense demanda a las dos compañías tecnológicas por haber usado sus contenidos para…