Összefoglaló
A PHP több, magas kockázati besorolású sérülékenysége vált ismertté, amelyeket kihasználva a távoli támadó hozzájuthat érzékeny adatokhoz, túlterhelheti a rendszert, illetve tetszőleges kódot futtathat le.
Leírás
- A távoli felhasználó egy speciálisan összeállított HTTP POST adat elküldésével túlterhelheti a CPU-t.
- A távoli felhasználó egy speciálisan összeállított adatcsomaggal előidézheti az alkalmazás összeomlását.
- A távoli felhasználó stack overflow-t okozhat a PHP INI API-ban, mely lehetővé teheti, hogy tetszőleges kódot futtasson a célrendszeren.
- A távoli felhasználó a “wddx_deserialize()” metódus sérülékenységét kihasználva érzékeny információkhoz férhet hozzá.
Megoldás
Frissítsen a legújabb verzióraMegoldás
A gyártó kiadott javításokat (5.6.31; 7.0.21; 7.1.7)
Támadás típusa
Deny of service (Szolgáltatás megtagadás)Information disclosure (Információ/adat szivárgás)
execute arbitrary code
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: php.net
Gyártói referencia: php.net
Gyártói referencia: php.net
Egyéb referencia: securitytracker.com
CVE-2017-7890 - NVD CVE-2017-7890
CVE-2017-9224 - NVD CVE-2017-9224
CVE-2017-9226 - NVD CVE-2017-9226
CVE-2017-9227 - NVD CVE-2017-9227
CVE-2017-9228 - NVD CVE-2017-9228
CVE-2017-9229 - NVD CVE-2017-9229