Összefoglaló
A PHP frissítésére számos sérülékenység miatt kell sort keríteni. A megszüntetésre váró hibák jogosulatlan távoli kódfuttatást, adatlopást, adatmanipulációkat, biztonsági megkötések megszegését és szolgáltatásmegtagadási támadást is elősegíthetnek.
Leírás
A fejlesztők az alábbi összetevők, funkciók kapcsán orvosoltak sérülékenységeket:
– Phar kezelés – puffertúlcsordulási hiba a phar_parse_tarfile() függvényben
– FTP támogatás
– HTTP POST kérések feldolgozása (DoS sebezhetőség)
– set_include_path() függvény
– tempnam() függvény
– rmdir() függvény
– readlink() függvény
– pcnt_exec() függvény.
Megoldás
A PHP 5.4.41, 5.5.25 vagy 5.6.9 verzióira való frissítés.
Támadás típusa
Deny of service (Szolgáltatás megtagadás)Information disclosure (Információ/adat szivárgás)
Manipulation of data
Security bypass (Biztonsági szabályok megkerülése)
execute arbitrary code
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
CVE-2015-4021 - NVD CVE-2015-4021
CVE-2015-4022 - NVD CVE-2015-4022
CVE-2015-4024 - NVD CVE-2015-4024
CVE-2015-4025 - NVD CVE-2015-4025
CVE-2015-4026 - NVD CVE-2015-4026
Gyártói referencia: php.net
Egyéb referencia: isbk.hu