Risque
- Exécution de code arbitraire
Systèmes affectés
PEAR XML_RPC versions 1.3.3 et antérieures.
Résumé
Une vulnérabilité présente dans le module PEAR XML_RPC permet à un utilisateur mal intentionné d'exécuter du code arbitraire sur le système vulnérable.
Description
PEAR (PHP Extension and Application Repository) est, comme son nom l'indique, un répertoire de dépôt pour des composants PHP. Le composant XML_RPC de PEAR est une mise en oeuvre du protocole XML RPC.
Une vulnérabilité présente dans le module PEAR XML_RPC permet à un utilisateur mal intentionné, via une requête XML RPC malicieusement construite, d'exécuter du code arbitraire PHP sur le système ayant le module vulnérable.
Solution
La version PEAR XML_RPC 1.4.0 corrige cette vulnérabilité (cf. section documentation).
Documentation
- Bulletin de sécurité hardened-php http://www.hardened-php.net/advisory_142005.66.html
- Bulletin de sécurité Debian DSA-840 pour drupal du 04 octobre 2005 : http://www.debian.org/security/2005/dsa-840
- Bulletin de sécurité Mandriva MDKSA-2005:146 : http://www.mandriva.com/security/advisories?name=MDKSA-2005:146
- Site Internet de PEAR : http://pear.php.net/
