Se acaba de publicar la versión 5.1.1 del lenguaje de programación PHP,
solucionando varios problemas de seguridad.
PHP (PHP: Hypertext Preprocessor) es un popular lenguaje de scripting
de código abierto, muy utilizado para el desarrollo de pequeñas
aplicaciones web.
La rama 5.1.*, además de nuevas librerías y retoques en el lenguaje
en sí, soluciona diversos problemas de seguridad:
* Nuevas comprobaciones de seguridad en las funciones «image*».
* Nuevas comprobaciones de seguridad en la librería «cURL».
* Nuevas comprobaciones de seguridad en la gestión de subida de ficheros
al servidor PHP.
* Actualización de seguridad de varios componentes integrados, como las
librerías zlib, openssl, curl, y otros.
* Corrupción de memoria en «ImageTTFText()».
* Corrupción de memoria en «pg_copy_from()».
* Corrupción de memoria en «stristr()».
* Varias sobreescrituras posibles de variables globales, bajo ciertas
circunstancias.
* Varios problemas de liberación múltiple de memoria.
De momento el equipo de desarrollo PHP no ha indicado si va migrar o no
los parches de seguridad a la rama 5.0 pero, juzgando por eventos
semejantes anteriores, nos parece dudoso.
Las instalaciones que hayan sido actualizadas a la versión 5.1.0 de PHP
deberán realizar una nueva actualización a la 5.1.1, publicada apenas
cuatro días después, que soluciona un problema de seguridad en el módulo
«cURL» y numerosas regresiones y problemas de estabilidad.
Por lo tanto, Hispasec recomienda la actualización a PHP 5.1.1. Debemos
destacar, no obstante, que esta versión puede no ser enteramente
compatible con los «scripts» programados para la versión 5.0. Entre los
enlaces al final de este boletín encontrarán uno en el que se detallan los
cambios necesarios para solucionar incompatibilidades.
jcea@hispasec.com
Más información:
Changelog version 5.1.1
http://www.php.net/ChangeLog-5.php#5.1.1
Changelog version 5.1.0
http://www.php.net/ChangeLog-5.php#5.1.0
UPGRADE NOTES – PHP 5.1
http://www.php.net/README_UPGRADE_51.php
Deja una respuesta