В пятницу, 13 декабря, разработчики интерпретатора PHP выпустили корректирующее критическое обновление безопасности для всех актуальных версий: 5.4.х, 5.5.х и даже 5.3.х. Ошибка была обнаружена в бинарно небезопасной функции "openssl_x509_parse()", предназначенной для разбора X.509 сертификатов. Использование в полях сертификата NULL-байта позволяло вызвать выполнение произвольного программного кода через повреждение памяти - CVE-2013-6420. Эта уязвимость устранена во всех указанных версиях PHP. Кроме того, в модуле OpenSSL версии 5.3.х ликвидирована еще одна уязвимость - CVE-2013-4073 (возможность подмены SSL-сертификата через ошибки обработки NULL-байтов в поле домена "subjectAltName"). Разработчики напоминают, что поддержка версии 5.3 завершается, а пользователям необходимо перейти на более новые версии. Вместе с тем, новые версии PHP 5.4.23 и 5.5.7, устраняют еще десяток менее критичных ошибок в модулях: ядра, CLI веб-сервера, OPCache, JSON, MySQLi, mysqlnd, PDO и др. Обновления доступны на веб-сайте разработчика и других репозиториях.
Опубликовано: 17-12-2013
Подробнее:
http://uinc.ru/news/oa745.html