Risques
- Déni de service à distance
- Exécution de code arbitraire à distance
Systèmes affectés
- Toutes versions antérieures à PHP 4.4.4 ;
- toutes versions antérieures à PHP 5.2.0.
Résumé
Une vulnérabilité découverte dans le language de script PHP permet à un utilisateur distant malintentionné d'exécuter du code arbitraire ou de provoquer un déni de service à distance.
Description
PHP (pour PHP Hypertext Preprocessor) est un language de script largement utilisé dans la réalisation de pages web dynamiques.
Une vulnérabilité de type débordement de mémoire a été découverte dans les fonctions htmlentities() et htmlspecialchars() peut être exploitée par un utilisateur distant malintentionné afin d'exécuter du code arbitraire ou de provoquer un déni de service sur le système vulnérable. L'exécution de code n'est possible que si le jeu de caractère UTF-8 est selectionné.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Debian DSA 1206 du 06 novembre 2006 : http://www.debian.org/security/2006/dsa-1206
- Bulletin de sécurité Mandriva MDKSA-2006:196 du 02 novembre 2006 : http://wwwnew.mandriva.com/security/advisories?name=MDKSA-2006:196
- Bulletin de sécurité RedHat RHSA-20006:0730 du 06 novembre 2006 : http://rhn.redhat.com/errata/RHSA-20006:0730.html
- Bulletin de sécurité Suse SUSE-SA:2006:067 du 15 novembre 2006 : http://www.novell.com/linux/security/advisories/2006_67_php.html
- Bulletin de sécurité Ubuntu USN-375-1 du 02 novembre 2006 : http://www.ubuntulinux.org/usn/usn-375-1
- Référence CVE CVE-2006-5465 https://www.cve.org/CVERecord?id=CVE-2006-5465
- Référence CVE CVE-2006-5706 https://www.cve.org/CVERecord?id=CVE-2006-5706