Il team del noto linguaggio per lo sviluppo Server Side ha messo a disposizione nel corso dello stesso giorno gli aggiornamenti per tutti i rami attualmente in fase di implementazione; PHP 5.6.2, PHP 5.5.18 e PHP 5.4.34 sono sostanzialmente delle release di sicurezza e, oltre al consueto lavoro incentrato sul bugfixing, prevedono anche la risoluzione di problematiche comuni riscontrate nelle versioni precedenti.
Nello specifico, si fa riferimento alle tre vulnerabilità registrate tramite il sistema informativo Common Vulnerabilities and Exposures come CVE-2014-3668, CVE-2014-3669 e CVE-2014-3670; nell'ordine, la prima avrebbe coinvolto il protocollo XMLRPC per l'esecuzione delle chiamate a procedure remote, la seconda avrebbe rivelato un problema di Integer overflow a carico della funzione unserialize()
e, infine, la terza avrebbe riguardato il formato Exif (EXchangeable Image File) per l'associazione di informazioni alle immagini fotografiche digitali.
La vulnerabilità riportata tramite il CVE-2014-3668 è relativa in questo caso alla funzione mkgmtime()
per la conversione delle ore UTC, essa in pratica avrebbe potuto causare una condizione di buffer overflow, cioè un sovradimensionamento nella scrittura dei dati a runtime; il CVE-2014-3669 avrebbe riguardato unicamente le architetture a 32 bit e la possibilità che unserialize()
producesse un fenomeno di integer overflow, cioè il tentativo di creare un valore numerico troppo grande per poter essere rappresentato all'interno dello spazio disponibile per l'allocazione.
L'ultimo CVE di riferimento, il 2014-3670, sarebbe stato invece relativo ad un problema di corruzione della memoria, o per meglio dire di heap corruption, cioè di un possibile danno alla porzione di memoria che supporta l'allocazione e la deallocazione dinamica; è da segnalare inoltre che nel caso delle versioni 5.5.18 e 5.4.34 dovrebbe essere stato risolto anche un problema a carico di OpenSSL non riscontrato nella precedente release di PHP 5.6.x.
Via PHP.net