 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 17 décembre
2010
No CERTA-2010-AVI-618 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Vulnérabilités dans
PHP
Tableau 1: Gestion du document
| Référence |
CERTA-2010-AVI-618 |
| Titre |
Vulnérabilités
dans PHP |
| Date de la première
version |
17 décembre 2010 |
| Date de la dernière
version |
- |
| Source |
Bulletin de version de PHP 5 du
16 décembre 2010 |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Exécution de code arbitraire à distance
;
- exécution de code arbitraire ;
- déni de service à distance ;
- déni de service ;
- atteinte à la confidentialité des
données.
PHP 5.2.x et 5.3.x.
Plusieurs vulnérabilités affectent PHP. Certaines
d'entre elles permettent à un utilisateur malveillant
d'exécuter du code arbitraire à distance.
Plusieurs vulnérabilités affectent PHP :
- certaines erreurs dans le traitement des archives ZIP
permettent de provoquer un déni de service à
distance ;
- le traitement défectueux des archives PHP
(adresses phar://) permet à un utilisateur
malveillant de lire des données sensibles ou
d'exécuter du code arbitraire à
distance ;
- l'utilisation d'un nom de fichiers d'une certaine forme
permet d'outrepasser les restrictions mises en place à
l'aide du module open_basedir ;
- l'utilisation d'une adresse mèl d'une certaine
forme permet de provoquer un déni de service par
épuisement de la mémoire ;
- une double désallocation de mémoire permet
à un utilisateur malveillant de provoquer un
déni de service. La possibilité
d'exécuter du code arbitraire n'est pas exclue.
Les versions 5.3.4, 5.2.15 et 5.2.16 de PHP remédient
à ces vulnérabilités.
Se référer au bulletin de
sécurité de l'éditeur pour l'obtention des
correctifs (cf. section Documentation).
- 17 décembre 2010
- version initiale.
CERTA
2012-01-04
|
|
)
