Multiples vulnérabilités dans PHP

Gestion du document

Référence	CERTA-2012-AVI-341
Titre	Multiples vulnérabilités dans PHP
Date de la première version	19 juin 2012
Date de la dernière version	19 juin 2012
Source(s)	Notes de mise à jour PHP 5.4.4 du 6 juin 2012
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Exécution de code arbitraire à distance ;
contournement de la politique de sécurité.

Systèmes affectés

PHP version inférieure à 5.4.4.

Résumé

Deux vulnérabilités ont été corrigées dans PHP. La première (CVE-2012-2143) permet à un attaquant de contourner la politique de sécurité (se référer à l'avis CERTA-2012-AVI-310). La seconde (CVE-2012-2386) permet à un attaquant d'exécuter du code arbitraire à distance via un débordement de tampon sur le tas, si l'extension phar de PHP est utilisée pour analyser des fichiers TAR.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Notes de mise à jour PHP 5.4.4 du 6 juin 2012 :
```
http://www.php.net/ChangeLog-5.php
```

Référence CVE CVE-2012-2143 :

https://www.cve.org/CVERecord?id=CVE-2012-2143

Référence CVE CVE-2012-2386 :

https://www.cve.org/CVERecord?id=CVE-2012-2386

Avis CERTA-2012-AVI-310 Vulnérabilité dans PostgreSQL :

http://www.certa.ssi.gouv.fr/site/CERTA-2012-AVI-310/index.html

Avis du CERT-FR

Objet: Multiples vulnérabilités dans PHP