Összefoglaló
A PHP-hez egy fontos biztonsági frissítés jelent meg. A befoltozott biztonsági rések, adatlopásra, adatmanipulációkra és jogosulatlan rendszerhozzáférésre is módot adhatnak.
Leírás
A fejlesztők által orvosolt sérülékenységek az alábbi funkciókat, összetevőket érintik:
– unserialize() függvény
– session kezelés
– hálózati kérések kezelése – CLI server (csak Windows alatt)
– TIFF fájlok feldolgozása – exif_read_data() függvény
– GMP
– PCRE függvények
– SOAP – serialize_function_call() függvény
– SplObjectStorage, SplDoublyLinkedList
– XSLT-feldolgozás
– ZIP-állományok kezelése – ZipArchive::extractTo függvény.
Megoldás
A PHP 5.4.45, 5.5.29 vagy 5.6.13 verzióira való frissítés.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Manipulation of data
System access (Rendszer hozzáférés)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: secure.php.net
Gyártói referencia: secure.php.net
Gyártói referencia: secure.php.net
Egyéb referencia: isbk.hu
CVE-2015-6834 - NVD CVE-2015-6834
CVE-2015-6835 - NVD CVE-2015-6835
CVE-2015-6836 - NVD CVE-2015-6836
CVE-2015-6837 - NVD CVE-2015-6837
CVE-2015-6838 - NVD CVE-2015-6838