Összefoglaló
A PHP esetében két biztonsági rést vált ismertté. Ezek jogosulatlan távoli kódfuttatásra, és adatlopásra is módot adhatnak.
Leírás
Az egyik hibát a phar fájlok kezelése okozza, ugyanis az ezért felelős összetevő az unserialize() függvény használatakor puffertúlcsordulási hibát idézhet elő.
A másik sérülékenység speciálisan szerkesztett tar, zip vagy phar állományokkal válhat kihasználhatóvá, és a phar_set_inode() függvény egyik rendellenessége okozza. Ez a hiba tetszőleges kódok jogosulatlan futtatását is elősegítheti.
Megoldás
Frissítsen a legújabb verzióraMegoldás
A kiadott (5.6.8RC1) frisítések telepítése.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Manipulation of data
System access (Rendszer hozzáférés)
execute code
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: php.net
Egyéb referencia: isbk.hu
CVE-2015-2783 - NVD CVE-2015-2783