Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Vulnerabilità in PHP 7 consente esecuzione di codice arbitrario

denial-of-service  PHP  remote code execution   lunedì, 30 settembre 2019

PHP è un linguaggio di scripting lato server progettato per lo sviluppo Web, ma utilizzato anche come un linguaggio di programmazione general-purpose. Il codice PHP può essere incorporato nel codice HTML, oppure può essere utilizzato in combinazione con diversi sistemi di gestione dei contenuti e framework Web. Il codice PHP viene di norma elaborato da un interprete implementato come modulo nel server Web o come eseguibile CGI.

È stata scoperta una grave vulnerabilità in PHP release 7 che deriva da una condizione di buffer overflow nella funzione Multibyte String mb_eregi(). Questa vulnerabilità potrebbe consentire ad un attaccante di eseguire codice arbitrario nel contesto dell’applicazione affetta o, in caso di tentativi falliti di sfruttamento, di causare condizioni di denial of service.

Per risolvere questa vulnerabilità è necessario aggiornare PHP alla versione 7.3.10.

Si raccomanda di installare gli aggiornamenti relativi alla propria piattaforma al più presto, dopo appropriato testing.

Per informazioni più dettagliate su questo aggiornamento, che risolve anche numerosi bug, si faccia riferimento alle seguenti note di rilascio di PHP:

Notizie correlate

Vulnerabilità critica in SimpleSAMLphp

7 novembre 2019

È stata scoperta una vulnerabilità critica in SimpleSAMLphp che rende possibile aggirare la verifica della firma XML dei messaggi SAML.Leggi tutto

Aggiornamento di sicurezza Android (novembre 2019)

6 novembre 2019

Google ha rilasciato l'aggiornamento di sicurezza di novembre che risolve svariate vulnerabilità nel sistema operativo Android, le più gravi delle quali potrebbero consentire l'esecuzione di codice da remoto sul dispositivo.Leggi tutto

Vulnerabilità in Microsoft Office per Mac consente esecuzione di codice da remoto

5 novembre 2019

È stata scoperta una vulnerabilità in Microsoft Office per Mac 2011 che potrebbe consentire l'esecuzione di codice arbitrario da remoto mediante file SYLK.Leggi tutto