Sistemas Afectados

1. Descripción

   Las vulnerabilidades son causadas por dos errores de límite de datos dentro de las funciones htmlentities() y htmlspecialschars(). Si una aplicación PHP usa estas funciones, la entrada proporcionada por el usuario puede ser explotado para causar un buffer overflow pasando datos especialmente creados para la aplicación afectada.

   El éxito de esta explotación puede permitir la ejecución de código arbitrario pero requiere que el juego dé caracteres UTF-8 sea seleccionado.

2. Impacto

   Los usuarios que no cuenten con esta actualización son vulnerables a ataques de negación de servicio o posiblemente a que su sistema sea comprometido.

3. Solución

   Actualizar a la versión 5.2.0

4. Referencias

   http://secunia.com/advisories/22653/

   http://www.hardened-php.net/advisory_132006.138.html

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

• J. Roberto Sánchez Soledad (roberto dot sanchez at cert dot unam dot mx)
• Jesús Mauricio Andrade Guzmán (mandrade at seguridad dot unam dot mx)