Vulnerabilidad en versiones PHP: comunicado de CPanel

Hace escasos minutos nos ha llegado un comunicado por parte de CPanel informando de una vulnerabilidad sobre algunas versiones de PHP. Recomiendan que se actualicen dichas versiones usando la utilidad easyApache.

También comunicar  a nuestros clientes que en Unelink no hay motivo por el que preocuparse, ya que se han actualizado las versiones de todos los hostings de inmediato.

A continuación, para los que no lo tengáis, os indicamos el contenido del mail enviado por parte de CPanel:

SUMMARY

cPanel, Inc. has released EasyApache 3.22.25 with PHP versions 5.3.28, 5.4.23, and 5.5.7. This release addresses PHP vulnerabilities CVE-2013-4073 and CVE-2013-6420 by fixing bugs in the OpenSSL module. We encourage all PHP users to upgrade to PHP versions 5.3.28, 5.4.23, and 5.5.7.

AFFECTED VERSIONS
All versions of PHP 5.3 before 5.3.28.
All versions of PHP 5.4 before 5.4.23.
All versions of PHP 5.5 before 5.5.7.

SECURITY RATING
The National Vulnerability Database (NIST) has given the following severity ratings to these CVEs:

CVE-2013-4073 - MEDIUM

PHP 5.3.28
Fixed bug in the OpenSSL module related to CVE-2013-4073.

CVE-2013-6420 - MEDIUM

PHP 5.3.28
Fixed bug in the OpenSSL module related to CVE-2013-6420.

PHP 5.4.23
Fixed bug in the OpenSSL module related to CVE-2013-6420.

PHP 5.5.7
Fixed bug in the OpenSSL module related to CVE-2013-6420.

SOLUTION
cPanel, Inc. has released EasyApache 3.22.25 with updated versions of PHP 5.3, 5.4, and 5.5 to correct these issues. Unless you have disabled EasyApache updates, EasyApache updates automatically. Run EasyApache to rebuild your profile with the latest version of PHP.

Esperamos que esta información os sea de utilidad.

Saludos.