S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 23 août 2005
N° CERTA-2005-AVI-319
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans PEAR XML_RPC (PHP)

Gestion du document

Référence CERTA-2005-AVI-319
Titre Vulnérabilité dans PEAR XML_RPC (PHP)
Date de la première version 23 août 2005
Date de la dernière version 07 octobre 2005
Source(s) Bulletin de sécurité hardened-php
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire

Systèmes affectés

PEAR XML_RPC versions 1.3.3 et antérieures.

Résumé

Une vulnérabilité présente dans le module PEAR XML_RPC permet à un utilisateur mal intentionné d'exécuter du code arbitraire sur le système vulnérable.

Description

PEAR (PHP Extension and Application Repository) est, comme son nom l'indique, un répertoire de dépôt pour des composants PHP. Le composant XML_RPC de PEAR est une mise en oeuvre du protocole XML RPC.

Une vulnérabilité présente dans le module PEAR XML_RPC permet à un utilisateur mal intentionné, via une requête XML RPC malicieusement construite, d'exécuter du code arbitraire PHP sur le système ayant le module vulnérable.

Solution

La version PEAR XML_RPC 1.4.0 corrige cette vulnérabilité (cf. section documentation).

Documentation

Gestion détaillée du document

    le 23 août 2005
    version initiale.
    le 07 octobre 2005
    ajout de la référence Debian pour drupal.