Risques

  • Attaque de type cross site scripting
  • Contournement de la politique de sécurité

Systèmes affectés

  • PHP 4.x.x ;
  • PHP 5.x.x.

Résumé

Plusieurs vulnérabilités découvertes dans PHP permettent à un utilisateur distant mal intentionnée contourner la politique de sécurité et/ou de réaliser des attaques de type injection de code indirecte (Cross Site Scripting).

Description

PHP est un langage de script permettant la réalisation de pages web dynamiques.

  • une vulnérabilité dans la fonction phpinfo() peut être exploitée par un utilisateur mal intentionné, au moyen d'argument long et astucieusement formé, afin de placer du code arbitraire sur le serveur vulnérable qui sera exécuté depuis le poste d'un internaute.
  • deux vulnérabilités dans les fonctions tempnam() et copy() permettent à un individu distant mal intentionné de contourner la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation