Η ομάδα ανάπτυξης της PHP έχει κυκλοφορήσει νέες εκδόσεις, προκειμένου να επιδιορθώσει τρεις ευπάθειες ασφάλειας, εκ των οποίων η μία λέγεται ότι είναι κρίσιμη και οδηγεί σε απομακρυσμένη εκτέλεση κώδικα.
Η ευπάθεια “CVE-2014-3669” μπορεί να προκαλέσει “υπερχείλιση” όταν κάνει προσπέλαση σε ειδικά δημιουργημένα συνεχή δεδομένα με την unserialize () . Η ευπάθεια είναι μόνο ένα σύστημα 32-bit, αλλά ο κίνδυνος προκαλείται από την παραβίαση και η ακολουθία δεδομένων συχνά προέρχεται από κανάλια που ελέγχονται από το χρήστη.
Επιπλέον, οι ενημερώσεις έχουν διορθώσει σφάλματα που σχετίζονται με την εισαγωγή ενός null byte στη cURL βιβλιοθήκη, προκαλώντας δυσλειτουργία στη δυναμική μνήμη κατά τη διάρκεια της επεξεργασίας των τροποποιημένων δεδομένων ως συνάρτηση του exif_thumbnail (), στην επεξεργασία εικόνας (CVE-2014-3670), καθώς και υπερχείλιση στην λειτουργία mkgmtime () από τη μονάδα XMLRPC (CVE-2014-3668).
Αυτές οι ευπάθειες έχουν ανακαλυφθεί από το Ερευνητικό εργαστήριο πληροφορικής της εταιρείας ασφάλειας High-Tech Bridge. Οι νέες εκδόσεις 5.6.2,5.5.18 και 5.4.34 αφορούν αυτές τις τρεις ευπάθειες.
