Les développeurs PHP ont publié de nouvelles versions de l’interpréteur qui corrigent au moins une faille de sécurité. Dans la mesure où une fonction de filtrage FILTER_VALIDATE_FLOAT avec min– et max-et que le filtre échoue – comme indiqué dans les journaux des changements des mainteneurs PHP, par exemple pour les valeurs entières – cela pourrait ouvrir une faille de type « use after free ». Cela peut conduire à un crash ou être potentiellement utilisé pour écraser des zones de mémoire et ensuite exécuter des codes malveillants (CVE-2021-21708, CVSS 8.2, risque élevé).

La vulnérabilité concerne PHP dans les versions 7.4.x 7.4.28, 8.0.x avant 8.0.16 ainsi que 8.1.x avant 8.1.3. PHP 7.4.28 corrige uniquement la faille de sécurité. En revanche, les versions 8.0.16 (changelog) et 8.1.3 (changelog) corrigent d’autres bugs, mais non liés à la sécurité, notamment des fuites de mémoire.

Des téléchargements de fichiers binaires Windows mis à jour et de nouveaux paquets de code source sont disponibles sur le site web de PHP. Les distributions Linux devraient également distribuer prochainement des paquets mis à jour. Les administrateurs qui utilisent PHP devraient planifier et effectuer la mise à jour rapidement.