Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

PHP : Vulnérabilités Diverses

12/11/2007 11H58
Référence Secunia : SA27648 
Date de publication : 2007-11-12

Risque : Moyennement Critique. Niveau 3 sur 5.
Impact : Inconnu, Contournement de la Sécurité
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
PHP 5.2.x


Description :
Quelques vulnérabilités et faiblesses ont été identifiées dans PHP, où certaines ont des impacts inconnus et les autres pourraient être exploitées pour passer outre certaines restrictions de sécurité.

1) Différentes erreurs existent dans le "htmlentities" et "htmlspecialchars" functions où partial multibyte sequences ne sont pas accepted.

2) Différentes erreurs de limites existent dans le "fnmatch()", "setlocale()", et "glob()" functions et pourrait être exploitée pour entrainer des débordements de tampon.

3) Une erreur dans le traitement de fichiers ".htaccess" pourrait être exploitée pour passer outre la directive "disable_functions" en modifiant le "mail.force_extra_parameters" php.ini directive via un fichier ".htaccess".

4) Une erreur dans l'interprétation de variables pourrait être exploitée pour sur-écrire valeurs set dans httpd.conf via "ini_set()" function.


Solutions :
Mettre à jour en version 5.2.5.
http://www.php.net/downloads.php


Vulnérabilité découverte par :

L'éditeur crédite:
1) Rasmus Lerdorf
2) Laurent Gaffie
3) SecurityReason

Référence :
http://www.php.net/releases/5_2_5.php




Veuillez noter : L'information sur laquelle ce bulletin Secunia est basé provient d'un tiers sans mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.