Среди прочего, было устранено три уязвимости, одна из которых позволяет скомпрометировать целевую систему.
Как следует из сообщения разработчиков PHP, различные ветки языка программирования были обновлены до версий 5.6.5, 5.5.21 и 5.4.37. При этом эксперты устранили три опасные уязвимости, одна из которых позволяет удаленному злоумышленнику выполнить произвольный код на атакуемой системе.
Речь идет о бреши с идентификатором CVE-2015-0231, существующей из-за того, что функция «unserialize()» неправильно обрабатывает сериализированные данные. Ошибка возникает при обращении к определенной области памяти после её освобождения.
Две другие уязвимости - CVE-2014-9427 и CVE-2015-0232 – способны привести к отказу в обслуживании системы. Они связаны с некорректным освобождением блока памяти по неинициализированному указателю, а также с возможностью инициирования чтения данных из области за пределами буфера.
Стоит отметить, что помимо уязвимостей создатели PHP также устранили порядка 30 различных ошибок , не имевших отношения к безопасности, однако негативно влиявших на производительность.
Подробное описание уязвимостей доступно по адресу: securitylab.ru/vulnerability/470386.php
На перекрестке науки и фантазии — наш канал