SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection
Dev-PHP : Faiblesse d'Affichage de Caractère NULL
22/01/2007 21H22 Référence Secunia : SA16420 Date de publication : 2005-08-12
Risque : Non Critique. Niveau 1 sur 5. Impact : Inconnu Lieu : A distance
Solutions :
Non corrigée
Produit :
Dev-PHP 2.x
Description :
rgod a découvert un défaut dans Dev-PHP, qui pourrait être exploité par des personnes malintentionnées à hide le contenu de certains fichiers sources.
Le défaut est causé du fait d'une erreur dans l'interprétation de caractères NULL dans des fichiers texte. Quand un fichier PHP contenant un caractère NULL est affiché dans l'éditeur, seulement le texte qui comes avant le caractère NULL sera affiché. N'importe quel script PHP inséré après le caractère NULL ne sera pas affiché dans l'éditeur, mais sera exécuté par l'interpréteur PHP.
L'exploitation de ce problème permet hiding par ex. du code de script malicieux dans un fichier quand consulté en utilisant an affectée editor.
Le défaut a été confirmé en version 2.0.12. Les autres versions pourraient également être affectées.
Solutions :
Utiliser un autre editor à check le contenu des fichiers.
Vulnérabilité découverte par :
rgod
Référence :
http://rgod.altervista.org/syn.html
Veuillez noter : L'information sur laquelle ce bulletin de sécurité Secunia est basé provient d'un tiers sans mention du contraire.
Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.
SECURINFOS
