Összefoglaló
A PHP frissítésére számos sérülékenység miatt kell sort keríteni. A megszüntetésre váró hibák jogosulatlan távoli kódfuttatást, adatlopást, adatmanipulációkat, biztonsági megkötések megszegését és szolgáltatásmegtagadási támadást is elősegíthetnek.
Leírás
A fejlesztők az alábbi összetevők, funkciók kapcsán orvosoltak sérülékenységeket:
– Phar kezelés – puffertúlcsordulási hiba a phar_parse_tarfile() függvényben
– FTP támogatás
– HTTP POST kérések feldolgozása (DoS sebezhetőség)
– set_include_path() függvény
– tempnam() függvény
– rmdir() függvény
– readlink() függvény
– pcnt_exec() függvény.
Megoldás
A PHP 5.4.41, 5.5.25 vagy 5.6.9 verzióira való frissítés.
Támadás típusa
Deny of service (Szolgáltatás megtagadás)Information disclosure (Információ/adat szivárgás)
Manipulation of data
Security bypass (Biztonsági szabályok megkerülése)
execute arbitrary code
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
CVE-2015-4021 - NVD CVE-2015-4021
CVE-2015-4022 - NVD CVE-2015-4022
CVE-2015-4024 - NVD CVE-2015-4024
CVE-2015-4025 - NVD CVE-2015-4025
CVE-2015-4026 - NVD CVE-2015-4026
Gyártói referencia: php.net
Egyéb referencia: isbk.hu