S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 04 janvier 2008
N° CERTA-2008-AVI-002
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans PHP 4

Gestion du document

Référence CERTA-2008-AVI-002
Titre Vulnérabilité dans PHP 4
Date de la première version04 janvier 2008
Date de la dernière version04 janvier 2008
Source(s) Liste des changements apportés à la version 4.4.8 de PHP

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Contournement de la politique de sécurité
  • Déni de service à distance

Systèmes affectés

PHP versions 4.4.7 et antérieures.

Résumé

De multiples vulnérabilités présentes dans PHP 4 permettent à un utilisateur distant de contourner la politique de sécurité ou de provoquer un déni de service.

Description

De multiples vulnérabilités ont été identifiées dans la branche 4 de PHP :

  • plusieurs d'entre elles de type débordement de mémoire permettent à un utilisateur distant de provoquer un déni de service ;
  • d'autres encore permettent à un utilisateur distant de contourner les restrictions mises en place lors de l'installation et la configuration de PHP.

Solution

La version 4.4.8 de PHP corrige le problème. Cependant, dans la mesure où la branche 4 de PHP est en fin de vie, il est recommandé de migrer vers la dernière version de la branche 5 : la 5.2.5 au moment de la rédaction du présent document.

http://www.php.net/downloads.php

Documentation

Gestion détaillée du document

    le 04 janvier 2008
    version initiale.