9VSA-00047-001 CSIRT comparte actualizaciones para las vulnerabilidades de PHP

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte la información entregada por PHP referente a vulnerabilidades detectadas en su producto y los respectivos parches. Este resumen incluye los CVE’s involucrados, una descripción del impacto de los productos afectados y medidas de mitigación.

Vulnerabilidad

 CVE-2019-11041

CVE-2019-11042

Impacto

Cuando la extensión PHP EXIF está analizando información EXIF de una imagen, por ejemplo a través de la función exif_read_data(), en las versiones de PHP 7.1.x (anteriores a 7.1.31), 7.2.x (anteriores a7.2.21) y 7.3.x (anteriores a 7.3.8) es posible proporcionarle datos que harán que se lea más allá del búfer asignado . Esto puede conducir a la divulgación de información o bloqueo.

Productos Afectados

  • PHP 7.1.x versiones anteriores a 7.1.31
  • PHP 7.2.x versiones anteriores a 7.2.21
  • PHP 7.3.x versiones anteriores a 7.3.8

Mitigación

 Actualizar a la última versión disponible de PHP

Enlace

https://bugs.php.net/bug.php?id=78222

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11041

https://bugs.php.net/bug.php?id=78256

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11042

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA-00047-001