Risques

  • Déni de service à distance
  • Exécution de code arbitraire à distance

Systèmes affectés

  • Toutes versions antérieures à PHP 4.4.4 ;
  • toutes versions antérieures à PHP 5.2.0.

Résumé

Une vulnérabilité découverte dans le language de script PHP permet à un utilisateur distant malintentionné d'exécuter du code arbitraire ou de provoquer un déni de service à distance.

Description

PHP (pour PHP Hypertext Preprocessor) est un language de script largement utilisé dans la réalisation de pages web dynamiques.

Une vulnérabilité de type débordement de mémoire a été découverte dans les fonctions htmlentities() et htmlspecialchars() peut être exploitée par un utilisateur distant malintentionné afin d'exécuter du code arbitraire ou de provoquer un déni de service sur le système vulnérable. L'exécution de code n'est possible que si le jeu de caractère UTF-8 est selectionné.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation