 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 03 mars 2009
No CERTA-2009-AVI-083 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Vulnérabilités dans
PHP
Tableau 1: Gestion du document
| Référence |
CERTA-2009-AVI-083 |
| Titre |
Vulnérabilités
dans PHP |
| Date de la première
version |
03 mars 2009 |
| Date de la dernière
version |
- |
| Source(s) |
Bulletin de la version PHP 5.2.9
du 26 février 2008 |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Déni de service ;
- atteinte à la confidentialité des
données.
PHP 5.x.
Plusieurs vulnérabilités sont présentes
dans PHP, permettant à un utilisateur malveillant de
réaliser un déni de service et de porter atteinte
à la confidentialité des données.
Plusieurs vulnérabilités sont présentes
dans PHP :
- un défaut dans la décompression des
archives zip permet à un utilisateur
malveillant de provoquer un arrêt inopiné du
serveur ;
- une erreur de traitement des chaînes
malformées transmises à la fonction json_decode() permet à un
utilisateur malveillant de provoquer une erreur de
segmentation ;
- un problème dans la fonction explode() permet à un utilisateur
malveillant de provoquer un déni de
service ;
- une erreur d'index de tableau dans la fonction imageRotate() est exploitable par un
utilisateur malveillant pour lire toute la
mémoire.
La version PHP 5.2.9 remédie à ces
vulnérabilités.
Se référer au bulletin de
sécurité de l'éditeur pour l'obtention des
correctifs (cf. section Documentation).
- 03 mars 2009
- version initiale.
CERTA
2012-01-04
|
|
)
