Обновление PHP 5.6.2, 5.5.18 и 5.4.34 с устранением уязвимостей
Доступны корректирующие выпуски языка программирования PHP — 5.6.2, 5.5.18 и 5.4.34, в которых и устранены 4 проблемы, связанные с безопасностью, в том числе уязвимости CVE-2014–3668, CVE-2014–3669 и CVE-2014–3670. Наиболее опасной является проблема CVE-2014–3669, которая может привести к целочисленному переполнению при выполнении операции разбора специально оформленных сериализированных данных с использованием функции unserialize (). Уязвимость проявляется только на 32-разрядных системах, но её опасность усугубляется тем, что часто сераилизированные данные могут поступать из подконтрольных пользователю каналов.
Кроме того, в новых выпусках устранены: возможность подстановки нулевого символа в cURL, повреждение кучи при обработке специально оформленных данных в exif_thumbnail () и переполнение буфера в функции mkgmtime () из модуля XMLRPC.
© OpenNet
