Összefoglaló
A PHP magas kockázati besorolású sérülékenységei váltak ismertté, melyeket kihasználva a támadó szolgáltatásmegtagadást érhet el, vagy jogosulatlan távoli kódfutatást hajthat végre, illetve érzékeny adatokat szerezhet meg. A sérülékenységeket kiküszöbölő megoldás már beszerezhető a gyártótól.
Leírás
A PHP fontos biztonsági frissítésekkel gyarapodott. Ezek telepítésével olyan sebezhetőségeket lehet megszüntetni, amelyek jogosulatlan távoli kódfuttatást, adatlopást és szolgáltatásmegtagadást is elősegíthetnek.
A sérülékenységek által érintett összetevők és függvények:
- Bz2
- Core – unserialize()
- Core – microtime()
- Calendar – zif_cal_from_jd()
- Curl – curl_escape()
- Ereg – sql_regcase()
- EXIF – exif_process_IFD_in_TIFF()
- GD – imagegammacorrect()
- mbstring
- Mcrypt
- SNMP – php_snmp_parse_oid()
- Standard – base64_decode()
- Standard – quoted_printable_encode()
- Standard – urlencode()
- Standard – php_uuencode()
- Streams – ftps:// kezelés
- Wddx – wddx_serialize_value()
- Wddx – wddx_deserialize()
- Wddx – XML-kezelés
- Wddx – php_wddx_pop_element()
- Zip – zend_virtual_cwd().
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Deny of service (Szolgáltatás megtagadás)Information disclosure (Információ/adat szivárgás)
System access (Rendszer hozzáférés)
execute arbitrary code
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)