Összefoglaló
A PHP kapcsán több sebezhetőség is felszínre került. Ezek jogosulatlan műveletvégrehajtást, adatlopást és biztonsági megkötések megkerülését is elősegíthetik.
Leírás
A fejlesztők az alábbi összetevők, funkciók kapcsán szüntettek meg sérülékenységeket:
– az ext/zip/lib/zip_dirent.c állományhoz tartozó _zip_cdir_new() függvény (puffertúlcsordulási hiba ZIP fájlok feldolgozásakor)
– a DateInterval objektumok kezelése
– move_uploaded_file() függvény
– a PHP_INI_SYSTEM paraméter feldolgozása
– az ext/ereg/regex/regcomp.c állományhoz tartozó regcomp() függvény (puffertúlcsordulási hiba).
Megoldás
Frissítsen a legújabb verzióraMegoldás
A PHP fejlesztői által kiadott hibajavítások telepítése.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Manipulation of data
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
execute code
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: bugs.php.net
Gyártói referencia: bugs.php.net
Gyártói referencia: bugs.php.net
Gyártói referencia: bugs.php.net
CVE-2015-2331 - NVD CVE-2015-2331
Egyéb referencia: isbk.hu