{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"PHP branche 5 : toutes les versions de PHP ant\u00e9rieures \u00e0 la version 5.0.0.","product":{"name":"PHP","vendor":{"name":"PHP","scada":false}}},{"description":"PHP branche 4 : toutes les versions de PHP ant\u00e9rieures \u00e0 la version 4.3.8 ;","product":{"name":"PHP","vendor":{"name":"PHP","scada":false}}}],"affected_systems_content":null,"content":"## Description\n\nPHP est un langage de script permettant la r\u00e9alisation de pages web\ndynamiques.  \nDeux vuln\u00e9rabilit\u00e9s sont pr\u00e9sentes dans php :\n\n-   Une premi\u00e8re vuln\u00e9rabilit\u00e9 concerne la directive memory_limit qui\n    peut \u00eatre d\u00e9clench\u00e9e \u00e0 un moment voulu. Ceci peut \u00eatre utilis\u00e9 par\n    un utilisateur mal intentionn\u00e9 pour ex\u00e9cuter du code arbitraire\n    (CAN-2004-0594) ;\n-   Une seconde vuln\u00e9rabilit\u00e9 concerne la fonction strip_tags(). Cette\n    fonction ne filtre pas correctement certaines balises, ce qui peut\n    conduire un utilisateur mal intentionn\u00e9 \u00e0 r\u00e9aliser des attaques de\n    type cross site scripting (CAN-2004-0595).\n\n## Solution\n\n-   Pour la branche 4 de PHP : mettre \u00e0 jour PHP en version 4.3.8 ;\n-   pour la branche 5 de PHP : mettre \u00e0 jour PHP en version 5.0.0.\n\nPHP est t\u00e9l\u00e9chargeable \u00e0 l'adresse suivante :\n\n    http://www.php.net/downloads.php\n\nDans tous les cas, se r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour\nl'obtention des correctifs (cf. section Documentation).\n","cves":[],"links":[{"title":"Mise \u00e0 jour de s\u00e9curit\u00e9 du paquetage NetBSD php4 :","url":"ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/www/php4/README.html"},{"title":"Site Internet de PHP :","url":"http://www.php.net"},{"title":"Bulletin de s\u00e9curit\u00e9 OpenBSD pour php4 du 15 juillet 2004 :","url":"http://www.vuxml.org/openbsd/"},{"title":"Liste des changements dans PHP pour la branche 5 :","url":"http://www.php.net/ChangeLog-5.php"},{"title":"Bulletin de s\u00e9curit\u00e9 Gentoo GLSA 200407-13 du 15 juillet    2004 :","url":"http://www.gentoo.org/security/en/glsa/glsa-200407-13.xml"},{"title":"Bulletin de s\u00e9curit\u00e9 Red Hat RHSA-2004:392 du 19 juillet    2004 :","url":"http://rhn.redhat.com/errata/RHSA-2004-392.html"},{"title":"Bulletin de s\u00e9curit\u00e9 SUSE SUSE-SA:2004:021 du 16 juillet    2004 :","url":"http://www.suse.com/de/security/2004_21_php4.html"},{"title":"Bulletin de s\u00e9curit\u00e9 Debian DSA-531 du 20 juillet 2004 :","url":"http://www.debian.org/security/2004/dsa-531"},{"title":"Bulletin de s\u00e9curit\u00e9 e-matters 12/2004 du 14 juillet 2004 :","url":"http://security.e-matters.de/advisories/122004.html"},{"title":"Bulletin de s\u00e9curit\u00e9 FreeBSD pour PHP du 15 juillet 2004 :","url":"http://www.vuxml.org/freebsd/"},{"title":"Liste des changements dans PHP pour la branche 4 :","url":"http://www.php.net/ChangeLog-4.php"},{"title":"Bulletin de s\u00e9curit\u00e9 Red Hat RHSA-2004:395 du 19 juillet    2004 :","url":"http://rhn.redhat.com/errata/RHSA-2004-395.html"},{"title":"Bulletin de s\u00e9curit\u00e9 Debian DSA-669 du 07 f\u00e9vrier 2005 :","url":"http://www.debian.org/security/2004/dsa-669"},{"title":"Bulletin de s\u00e9curit\u00e9 e-matters 11/2004 du 14 juillet 2004 :","url":"http://security.e-matters.de/advisories/112004.html"}],"reference":"CERTA-2004-AVI-244","revisions":[{"description":"version initiale.","revision_date":"2004-07-15T00:00:00.000000"},{"description":"ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 SUSE.","revision_date":"2004-07-16T00:00:00.000000"},{"description":"ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 OpenBSD.","revision_date":"2004-07-19T00:00:00.000000"},{"description":"ajout des r\u00e9f\u00e9rences aux bulletins de s\u00e9curit\u00e9 Red Hat.","revision_date":"2004-07-20T00:00:00.000000"},{"description":"ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 Debian DSA-531.","revision_date":"2004-07-21T00:00:00.000000"},{"description":"ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 Debian DSA-669.","revision_date":"2005-02-08T00:00:00.000000"},{"description":"ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 NetBSD.","revision_date":"2005-03-01T00:00:00.000000"}],"risks":[{"description":"Injection de code indirecte \u00e0 distance (XSS)"},{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":"Deux vuln\u00e9rabilit\u00e9s dans PHP permettent \u00e0 un utilisateur mal intentionn\u00e9\nde r\u00e9aliser du cross site scripting ou d'ex\u00e9cuter du code arbitraire \u00e0\ndistance sur la plate-forme vuln\u00e9rable.\n","title":"Vuln\u00e9rabilit\u00e9 de PHP","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 Mandrake MDKSA-2004:068","url":"http://www.mandrakesoft.com/security/advisories?name=MDKSA-2004:068"}]}