S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 23 juillet 2002
N° CERTA-2002-AVI-154
Affaire suivie par: CERT-FR
le 23 juillet 2002

Avis du CERT-FR

Objet: Vulnérabilités sur PHP

Gestion du document

Référence CERTA-2002-AVI-154
Titre Vulnérabilités sur PHP
Date de la première version 23 juillet 2002
Date de la dernière version 23 juillet 2002
Source(s) Avis CA-2002-21 du CERT/CC
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Déni de service ;
  • élévation de privilèges ;
  • exécution de code arbitraire.

Systèmes affectés

PHP versions 4.2.0 et 4.2.1.

Résumé

Plusieurs débordements de mémoire présents sur PHP permettent à un utilisateur mal intentionné de réaliser un déni de service ou d'exécuter du code arbitraire sur le système.

Description

Plusieurs vulnérabilités, de type « débordement de mémoire », sont présentes dans la fonction php_mime_split. Les vulnérabilités sur cette fonction qui est appelée lors de l'envoi des requêtes multipart/form-data POST peuvent permettre à un utilisateur mal intentionné de réaliser un déni de service ou d'exécuter du code arbitraire sur le système.

Contournement provisoire

Interdire les requêtes POST sur le serveur web.

Solution

Appliquer les correctifs correspondant à votre éditeur ou installer la version 4.2.2 (cf site PHP, section documentation).

Documentation

Gestion détaillée du document

    le 23 juillet 2002
    version initiale.