La última actualización publicada de PHP revela múltiples fallos que han sido parcheados, tanto en el core como en diferentes librerías del lenguaje. La vulnerabilidad más severa permitiría ejecutar código remoto en el servidor de la víctima.
PHP es un lenguaje diseñado originalmente para ser utilizado en aplicaciones basadas en Web junto con HTML. En la actualidad aproximadamente el 78% de los portales web están escritos en PHP, según las estadísticas de w3techs.
Los sistemas afectados a estas vulnerabilidades son los siguientes:
– Versiones PHP 7.1 y anteriores a 7.1.32.
– Versiones PHP 7.2 y anteriores a 7.2.22.
– Versiones PHP 7.3 y anteriores a 7.3.9.
Detalles técnicos de los errores según la actualización publicada por php.net:
BUG | RAMAS AFECTADAS | |
---|---|---|
#78363 Buffer overflow in zendparse | 7.3 y 7.2 | |
#78379 Cast to object confuses GC, causes crash | 7.3 y 7.2 | |
#78412 Generator incorrectly reports non-releasable $this as GC child | 7.3 | |
#77946 Bad cURL resources returned by curl_multi_info_read() | 7.3 y 7.2 | |
#78333 Exif crash (bus error) | 7.3 y 7.2 | |
#77185 Use-after-free in FPM master event handling | 7.3 | |
#78342 Bus error in configure test for iconv //IGNORE | 7.3 y 7.2 | |
#78380 Oniguruma 6.9.3 fixes CVEs | 7.3 | |
#78179 MariaDB server version incorrectly detected | 7.3 y 7.2 | |
#78213 Empty row pocket | 7.3 | |
#77191 Assertion failure in dce_live_ranges() | 7.3 y 7.2 | |
#69100 Bus error from stream_copy_to_stream (file -> SSL stream) | 7.3 y 7.2 | |
#78282 atime and mtime mismatch | 7.3 y 7.2 | |
#78326 improper memory deallocation on stream_get_contents() | 7.3 y 7.2 | |
#78346 strip_tags no longer handling nested php tags | 7.3 | |
#75457 heap use-after-free in pcrelib | 7.1 |
Entre los bugs parcheados se encuentra Oniguruma, una popular librería de expresiones regulares que se utiliza internamente en PHP (y en muchos otros lenguajes), que ha sido actualizada a la versión 6.9.3, debido a una vulnerabilidad de ejecución de código ‘user-after-free‘ asignada con el CVE CVE-2019-13224.
Este fallo podría permitir la ejecución de código en la aplicación afectada. En caso de fallar al ejecutar el exploit podría resultar en una denegación de servicio (DoS).
Como se puede observar, los fallos afectan a librerías y funciones ampliamente utilizadas como la función Exif, la extensión Curl, Opcache o FastCGI Proccess Manager (FPM) entre otros.
Por el momento no hay constancia de que estos fallos estén siendo aprovechados y explotados en aplicaciones o sistemas en producción en la red. Sin embargo es altamente recomendable que tanto usuarios como proveedores de hostings actualicen sus servidores a las últimas versiones publicadas 7.3.9, 7.2.22, o 7.1.32.