Összefoglaló
A PHP több sérülékenysége vált ismertté, melyeket kihasználva rosszindulatú felhasználók megkerülhetnek egyes biztonsági előírásokat, rosszindulatú támadók szolgáltatás megtagadást okozhatnak vagy föltörhetik a sérülékeny rendszert.
Leírás
A PHP több sérülékenysége vált ismertté, melyeket kihasználva rosszindulatú felhasználók megkerülhetnek egyes biztonsági előírásokat, rosszindulatú támadók szolgáltatás megtagadást okozhatnak vagy föltörhetik a sérülékeny rendszert.
- Egy meghatározatlan hiba a FastCGI SAPI-ban kihasználható verem túlcsordulás okozására.
- Egy meghatározatlan hiba található a félkész multibyte karakterek kezelésénél az “escapeshellcmd()”-n belül.
- Egy biztonsági problémát okoz egy meghatározatlan hiba, amelyről jelenleg nem áll rendelkezésre bővebb információ.
- A cURL-ben található hiba kihasználható a “safe_mode” direktíva megkerülésére.
-
A PCRE-ben található határhiba kihasználható szolgáltatás megtagadás okozására vagy a sérülékeny rendszer föltörésére.
Figyelem: A “GENERATE_SEED()” macro egy sérülékenységét is jelentették.
A sérülékenységek az 5.2.6-ost megelőző verziókban találhatóak.
Megoldás
Frissítsen az 5.2.6-os verzióra:
http://www.php.net/downloads.php
Támadás típusa
Input manipulation (Bemenet módosítás)Unknown (Ismeretlen)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 30048
Gyártói referencia: www.php.net