Red Hat ha publicado una actualización de php que corrige múltiples fallas de seguridad. Estos errores permiten a un atacante causar ataques de cross-site scripting, inyección de parámetros o causar una denegación de servicio entre otros.
Las fallas corregidas, por orden de CVE, son los siguientes:
CVE-2009-5016 y CVE-2010-3870: Existe un error de truncamiento y falta de validación en la función 'utf8_decode' cuando decodifica secuencias multi-byte.
CVE-2010-0397: El error existe al manejar los argumentos de la función 'xmlrpc_decode_request' de la extensión 'xmlrpc' que podría provocar una dereferencia de puntero nulo.
CVE-2010-1128: Existe un error no especificado en 'session extension' que permite a un atacante eludir restricciones (open_basedir y safe_mode) a través de vectores no especificados.
CVE-2010-1917: Existe un desbordamiento de memoria intermedia basado en pila en la función fnmatch.
CVE-2010-2531: Otro error no especifcado en var_export que puede permitir una fuga de datos en memoria.
CVE-2010-3065: Un último error existe en el serializador por defecto de PHP al manejar incorrectamente el caracter PS_UNDEF_MARKER.
Esta actualización está disponible a través de Red Hat Network.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4423
No hay comentarios:
Publicar un comentario