Összefoglaló
A PHP számos sérülékenységét jelentették, melyek közül néhány ismeretlen hatású, míg a többit rosszindulatú felhasználók kihasználhatják egyes biztonsági előírások megkerülésére, a támadók pedig cross-site scripting támadásokat folytathatnak le és szolgáltatás megtagadást (DoS) idézhetnek elő.
Leírás
A PHP számos sérülékenységét jelentették, melyek közül néhány ismeretlen hatású, míg a többit rosszindulatú felhasználók kihasználhatják egyes biztonsági előírások megkerülésére, a támadók pedig cross-site scripting támadásokat folytathatnak le és szolgáltatás megtagadást (DoS) idézhetnek elő.
- A “tempnam()” hibája kihasználható a “safe_mode” jellemző figyelmen kívül hagyására.
- A “posix_mkfifo()” hibája kihasználható az “open_basedir” jellemző figyelmen kívül hagyására.
- Az űrlap-alapú fájl feltöltések feldolgozásának hibája kihasználható DoS okozására, speciálisan erre a célra elkészített kérések küldésével.
- A $_SESSION elégtelen megszakítás módosítás elleni védelméből és a “session.save_path” gyenge ellenőrzéséből következő hibák ismeretlen hatásúak.
- A “htmlspecialchars()” függvény egyes bemeneteket nem megfelelően ellenőriz. Ezt kihasználva cross-site scripting támadások indíthatók.
A sérülékenységeket az 5.2.12. verziónál korábbiakban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Other (Egyéb)
Hatás
Unknown (Ismeretlen)Szükséges hozzáférés
Local/Shell (Helyi/shell)Remote/Network (Távoli/hálózat)
Hivatkozások
Egyéb referencia: www.acunetix.com
Egyéb referencia: securityreason.com
Egyéb referencia: securityreason.com
Gyártói referencia: bugs.php.net
Gyártói referencia: www.php.net
Gyártói referencia: www.php.net
SECUNIA 37821
Egyéb referencia: www.vupen.com
CVE-2009-3557 - NVD CVE-2009-3557
CVE-2009-3558 - NVD CVE-2009-3558
CVE-2009-4017 - NVD CVE-2009-4017
CVE-2009-4142 - NVD CVE-2009-4142
CVE-2009-4143 - NVD CVE-2009-4143