Обновление PHP 5.5.36, 5.6.22 и 7.0.7 с устранением уязвимостей
Опубликованы корректирующие выпуски языка программирования PHP 7.0.7, 5.6.22 и 5.5.36, в которых внесено 30 изменений, в том числе устранено несколько уязвимостей:
- Обращение к уже освобождённому блоку памяти (use-after-free) в функции error_reporting. Не исключается возможность эксплуатации, которая может привести к выполнению кода атакующего;
- Целочисленное переполнение в функции php_html_entities (CVE-2016–5094);
- Целочисленное антипереполнение (Integer underflow) в fread/gzread (CVE-2016–5096);
- Обращение к уже освобождённому блоку памяти в функции dba_open (расширение DBA);
- Чтение из области вне границ буфера в функции imagescale из состава расширения GD (CVE-2013–7456);
- Чтение из области вне границ буфера в функции get_icu_value_internal из состава расширения Intl (CVE-2016–5093);
- Разыменование нулевого указателя в функции mb_ereg_replace;
Возможно исправлены и некоторые другие проблемы с безопасностью, так как не все уязвимости явно отмечены в публикуемом списке изменений.
© OpenNet
