 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 18 décembre
2009
No CERTA-2009-AVI-553 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Multiples
vulnérabilités de PHP
Tableau 1: Gestion du document
| Référence |
CERTA-2009-AVI-553 |
| Titre |
Multiples
vulnérabilités de PHP |
| Date de la première
version |
18 décembre 2009 |
| Date de la dernière
version |
- |
| Source(s) |
Notes de mise à jour PHP
5.2.12 |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Déni de service à distance ;
- contournement de la politique de sécurité
;
- injection de code indirecte.
PHP versions 5.2.11 et antérieures.
De multiples vulnérabilités ont été
découvertes dans PHP. L'exploitation de ces
vulnérabilités permet de réaliser des
actions diverses dont le déni de service à
distance ou la contournement de certains mécanismes de
sécurité.
Cinq vulnérabilités ont été
découvertes dans PHP :
- la première est due à une erreur dans la
fonction tempnam(), permettant de
contourner le mécanisme de safe_mode ;
- la deuxième est due à une erreur dans la
fonction posix_mkfifo(),
permettant de contourner la fonctionalité open_basedir ;
- la troisième est due à une erreur dans la
gestion du chargement de certaines données et peut
être utilisée afin de provoquer un déni
de service ;
- la quatrième est due à une mauvaise gestion
des sessions (l'impact n'est pas connu) ;
- la dernière est due à une erreur au niveau
de la fonction htmlspecialchars()
et permet à un utilisateur mal intentionné de
réaliser une injection de code indirecte.
Se référer au bulletin de
sécurité de l'éditeur pour l'obtention des
correctifs (cf. section Documentation).
- 18 décembre 2009
- version initiale.
CERTA
2012-01-04
|
|
)
