Hier, le groupe PHP a annoncé la sortie de la version 5.3.6 de PHP. Cette nouvelle version de PHP corrige cinq failles de sécurité en plus de fournir de nouvelles fonctionnalités qui peuvent améliorer la sécurité des serveurs web et des applications PHP.
Deux des cinq bogues corrigés sont évalués à haute sévérité par le National Vulnerability Database, les autres n’ont pas été analysés pour le moment.
Le premier est une vulnérabilité dans l’extension Phar qui peut causer un déni de service ainsi que, éventuellement permettre l’exécution de code à distance. Phar est l’équivalent PHP du format JAR (Java). Il ne semble pas être largement utilisé pour des applications PHP populaires.
Une autre vulnérabilité a été fixée dans la mémoire. Si elle est exploitée, elle pourrait aussi provoquer un déni de service et, éventuellement, permettre la lecture des zones sensibles de la mémoire système.
Les autres corrections de sécurité ont traité des problèmes avec la lecture des données EXIF, la manipulation archive ZIP et les valeurs élevées pour les paramètres de précision INI. Une amélioration de la sécurité applique désormais les paramètres de sécurité liés à l’utilisation du module FastCGI qui est souvent utilisé pour aider à accélérer des applications Web PHP.
Si vous utilisez PHP pour votre site web, il est conseillé de mettre à jour votre installation de PHP selon votre convenance. Pour les administrateurs Linux, le paquet devrait être disponible RSN (Real Soon Now) à partir des référentiels de mise à jour de vos distributions. Les administrateurs de systèmes Windows et des autres plates-formes doivent télécharger la dernière version sur http://www.php.net.