Összefoglaló
A PHP Group a PHP kapcsán több biztonsági rést is befoltozott. Ezek a hibák elsősorban adatszivárgást, jogosulatlan távoli rendszerhozzáférést, illetve jogosulatlan távoli kódfuttatást tehetnek lehetővé.
Leírás
A PHP kapcsán számos sebezhetőséget kell megszüntetni. A megjelent hibajavítások jogosulatlan kódfuttatásra és adatlopásra is módot adó sérülékenységeket küszöbölnek ki.
A frissítések a következő összetevőket, függvényeket érintik:
- php_url_parse_ex()
- ZVAL
- virtual_file_ex()
- unserialize()
- php_bz2_filter_create()
- bzread()
- variant_date_from_timestamp()
- curl
- exif_process_IFD_in_MAKERNOTE()
- exif_process_user_comment()
- gdImageAALine()
- imagecropauto()
- gdImageTrueColorToPaletteBody()
- _gdContributionsAlloc()
- locale_accept_from_http()
- mb_ereg_replace
- MBString
- mdecrypt_generic()
- proc_open()
- ps_files_cleanup_dir()
- SNMP támogatás
- simplestring_addn()
- php_stream_zip_opener()
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Information disclosure (Információ/adat szivárgás)System access (Rendszer hozzáférés)
execute arbitrary code
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu
Gyártói referencia: php.net
Gyártói referencia: php.net
Gyártói referencia: php.net
CVE-2016-5399 - NVD CVE-2016-5399