9VSA-00047-001 CSIRT comparte actualizaciones para las vulnerabilidades de PHP
CSIRT comparte la información entregada por PHP referente a vulnerabilidades detectadas en su producto y los respectivos parches
Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte la información entregada por PHP referente a vulnerabilidades detectadas en su producto y los respectivos parches. Este resumen incluye los CVE’s involucrados, una descripción del impacto de los productos afectados y medidas de mitigación.
Vulnerabilidad
CVE-2019-11041
CVE-2019-11042
Impacto
Cuando la extensión PHP EXIF está analizando información EXIF de una imagen, por ejemplo a través de la función exif_read_data(), en las versiones de PHP 7.1.x (anteriores a 7.1.31), 7.2.x (anteriores a7.2.21) y 7.3.x (anteriores a 7.3.8) es posible proporcionarle datos que harán que se lea más allá del búfer asignado . Esto puede conducir a la divulgación de información o bloqueo.
Productos Afectados
- PHP 7.1.x versiones anteriores a 7.1.31
- PHP 7.2.x versiones anteriores a 7.2.21
- PHP 7.3.x versiones anteriores a 7.3.8
Mitigación
Actualizar a la última versión disponible de PHP
Enlace
https://bugs.php.net/bug.php?id=78222
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11041
https://bugs.php.net/bug.php?id=78256
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11042
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA-00047-001