Alert GCSA-19100 - Vulnerabilita' in PHP
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
******************************************************************
Alert ID : GCSA-19100
Data : 30 settembre 2019
Titolo : Vulnerabilita' in PHP
******************************************************************
:: Descrizione del problema:
E' stata identificata una vulnerabilita' in PHP, che puo' essere sfruttata
da un attaccante per eseguire codice arbitrario.
:: Versioni interessate:
PHP 7.3 precedenti alla 7.3.10.
:: Impatto:
Esecuzione di codice arbitrario. Si tratta di una vulnerabilita' di tipo
buffer overflow dello heap; in particolare, nella libreria MBString, la
funzione mb_eregi() non verifica le dimensioni dell'input prima di copiarlo
in un buffer di dimensioni definite.
:: Soluzioni:
Aggiornare PHP 7.3 all'ultima versione (7.3.10).
https://www.php.net/downloads.php#v7.3.10
:: Riferimenti:
Center for Internet Security
https://www.cisecurity.org/advisory/a-vulnerability-in-php-could-allow-for-arbitrary-code-execution_2019-101/
PHP.NET:
https://bugs.php.net/bug.php?id=78559
GARR CERT Newsletter subscribe/unsubscribe:
https://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iF0EARECAB0WIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCXZGnRwAKCRDBnEyTZRJg
Qg9UAJwMIDkXm4pzZKp6kFT2Ov0iV9WK4ACgwku7ayAqf1Oy/1E3/M1qSCUQqKE=
=iyNI
-----END PGP SIGNATURE-----