В PHP устранены 3 опасные уязвимости

Разработчики PHP выпустили исправления 5.6.2 , 5.5.18 и 5.4.34 для своего скриптового языка программирования. В них были устранены 3 уязвимости - CVE-2014-3668, CVE-2014-3669 и CVE-2014-3670.

Все бреши были обнаружены в сентябре этого года. Судя по контактным данным, указанным на сайте с описаниями ошибок, уязвимости выявил специалист High-Tech Bridge Симеон Парашудис (Symeon Paraschoudis).

Самой опасной из исправленных уязвимостей оказалась брешь CVE-2014-3669. Она может вызвать целочисленное переполнение при разборе специально сформированных сериализированных данных с помощью функции unserialize(). Уязвимости подвержены лишь 32-битные системы, но опасность бреши вызвана также тем, что сериализированные данные часто поступают из контролируемых пользователем каналов.

Помимо этого, в обновлениях были исправлены ошибки, связанные с внедрением нулевого байта в библиотеке cURL, вызовом повреждения динамической памяти во время обработки модифицированных данных в функции exif_thumbnail() при обработке изображений (CVE-2014-3670), а также с переполнением буфера в функции mkgmtime() из модуля XMLRPC (CVE-2014-3668).

Ознакомиться с описанием уязвимостей можно по адресу:  www.securitylab.ru/vulnerability/460195.php