Vulnérabilité dans PHP

Gestion du document

Référence	CERTA-2007-AVI-060
Titre	Vulnérabilité dans PHP
Date de la première version	26 janvier 2007
Date de la dernière version	26 janvier 2007
Source(s)	Fil de discussion Security Focus du 26 janvier 2007
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Contournement de la politique de sécurité

Systèmes affectés

5.2 et 4.4

Résumé

Une vulnérabilité dans PHP permet à un attaquant de contourner la politique de sécurité.

Description

Une vulnérabilité dans PHP permet à un utilisateur local de passer outre les restrictions safe_mode et open_basedir, et donc de contourner la politique de sécurité.

Solution

Se référer aux mises à jour de l'éditeur pour l'obtention des correctifs (cf. section Documentation). Une mise à jour provisoire est disponible sur le serveur CVS de PHP.

Documentation

Fil de discussion Security Focus du 26 janvier 2007

None

Mise à jour provisoire pour PHP 4.4 dans la base CVS du site PHP.net :

http://cvs.php.net/viewcvs.cgi/php-src/ext/session/session.c?r1=1.336.2.53.2.7&r2=1.336.2.53.2.8

Mise à jour provisoire pour PHP 5.2 dans la base CVS du site PHP.net :

http://cvs.php.net/viewcvs.cgi/php-src/ext/session/session.c?r1=1.417.2.8.2.17&r2=1.417.2.8.2.17

Référence CVE CVE-2006-6383

https://www.cve.org/CVERecord?id=CVE-2006-6383

Avis du CERT-FR

Objet: Vulnérabilité dans PHP