S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 14 août
2008
No CERTA-2008-AVI-417 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Multiples
vulnérabilités dans PHP
Tableau 1: Gestion du document
| Référence |
CERTA-2008-AVI-417 |
| Titre |
Multiples
vulnérabilités dans PHP |
| Date de la première
version |
14 août 2008 |
| Date de la dernière
version |
- |
| Source(s) |
Note de changement de version
PHP 4.4.9 du 07 août 2008 |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Déni de service à distance ;
- contournement de la politique de sécurité
;
- atteinte à la confidentialité des
données.
- Les versions PHP de la branche 4 antérieures
à 4.4.9.
Cette branche ne devrait plus être maintenue à
la fin de l'année 2008.
Plusieurs vulnérabilités ont été
identifiées dans PHP 4. Leur exploitation permettrait de
perturber le système ou de récupérer des
données confidentielles.
Plusieurs vulnérabilités ont été
identifiées dans PHP 4 :
- la bibliothèque PCRE (Perl-Compatible Regular Expression) ne
gère pas correctement certaines expressions
régulières pouvant provoquer un
débordement de pile ;
- la fonction memnstr() appelée par
explode() ne contrôlerait pas correctement
certaines entrées ;
- la fonction imageloadfont() (gd/ext) ne
gère pas convenablement certains caractères
;
- PHP ne manipulerait pas correctement certains liens avec
des points multiples de type XXX..php ;
- il est possible de contourner le safe_mode sous
certaines conditions.
- l'extension curl ne manipulerait pas correctement
l'option open_basedir.
Certaines de ces vulnérabilités ont fait
l'objet d'un correctif dans la branche 5 en juin 2008 et sont
mentionnées dans l'avis CERTA-2008-AVI-225.
Se référer au bulletin de
sécurité de l'éditeur pour l'obtention des
correctifs (cf. section Documentation).
- 14 août 2008
- version initiale.
CERTA
2012-01-04
|
)
