Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Vulnerabilità in PHP 7 consente esecuzione di codice arbitrario

denial-of-service  PHP  remote code execution   lunedì, 30 settembre 2019

PHP è un linguaggio di scripting lato server progettato per lo sviluppo Web, ma utilizzato anche come un linguaggio di programmazione general-purpose. Il codice PHP può essere incorporato nel codice HTML, oppure può essere utilizzato in combinazione con diversi sistemi di gestione dei contenuti e framework Web. Il codice PHP viene di norma elaborato da un interprete implementato come modulo nel server Web o come eseguibile CGI.

È stata scoperta una grave vulnerabilità in PHP release 7 che deriva da una condizione di buffer overflow nella funzione Multibyte String mb_eregi(). Questa vulnerabilità potrebbe consentire ad un attaccante di eseguire codice arbitrario nel contesto dell’applicazione affetta o, in caso di tentativi falliti di sfruttamento, di causare condizioni di denial of service.

Per risolvere questa vulnerabilità è necessario aggiornare PHP alla versione 7.3.10.

Si raccomanda di installare gli aggiornamenti relativi alla propria piattaforma al più presto, dopo appropriato testing.

Per informazioni più dettagliate su questo aggiornamento, che risolve anche numerosi bug, si faccia riferimento alle seguenti note di rilascio di PHP:

Notizie correlate

Vulnerabilità multiple in ISC BIND 9

18 ottobre 2019

Sono state riscontrate due diverse vulnerabilità di media gravità in ISC BIND 9, la più grave delle quali può causare condizioni di denial of service.Leggi tutto

Aggiornamenti di sicurezza critici per Magento

14 ottobre 2019

Sono stati rilasciati aggiornamenti di sicurezza per la piattaforma di e-commerce Magento che risolvono un totale di 53 vulnerabilità, di cui 12 critiche e altre 12 di gravità elevata.Leggi tutto

Aggiornamenti di sicurezza per prodotti Juniper Networks (ottobre 2019)

11 ottobre 2019

Juniper Networks ha pubblicato una serie di bollettini di sicurezza relativi a vulnerabilità multiple scoperte in svariati prodotti software, tra cui alcune di gravità elevata in Junos OS.Leggi tutto