Összefoglaló
A PHP több sérülékenységét azonosították, melyeket a támadók kiaknázhatnak biztonsági megszorítások megkerülésére, szolgáltatás megtagadás okozására vagy a sérült web server feltörésére.
Leírás
A PHP több sérülékenységét azonosították, melyeket a támadók kiaknázhatnak biztonsági megszorítások megkerülésére, szolgáltatás megtagadás okozására vagy a sérült web server feltörésére.
A PHP több sérülékenységét és gyengeségét jelentették, melyek között van ismeretlen hatású, míg mások kiaknázhatóak egyes biztonsági megszorítások megkerülésére.
- A „htmlentities” és „htmlspecialchars” függvényeknek különböző hibái vannak, amelyek több bájtból álló sorozat részleteket nem fogadnak el.
- A „fnmatch()”, „setlocale()”, és „glob()” függvények határhibái kiaknázhatóak puffer túlcsordulás okozására.
- A „.htaccess” fájlok feldolgozásakor fellépő hiba kiaknázható a „disable_functions” szempontjainak megkerülésére a php.ini „mail.force_extra_parameters” módosításával egy „.htaccess” fájlon keresztül.
- A változók kezelésének hibája felhasználható a httpd.conf set értekeinek felülírására az „ini_set()” függvényen keresztül.
Megoldás
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.vupen.com
SECUNIA 27648
Gyártói referencia: www.php.net