Premier Ministre

S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 02 mai 2008

N° CERTA-2008-AVI-225

Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans PHP

Gestion du document

Référence	CERTA-2008-AVI-225
Titre	Multiples vulnérabilités dans PHP
Date de la première version	02 mai 2008
Date de la dernière version	25 juin 2008
Source(s)	Notes de version PHP 5.2.6 du 01 mai 2008

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

Contournement de la politique de sécurité
Exécution de code arbitraire à distance

Systèmes affectés

PHP versions 5.2.5 et antérieures.

Résumé

De multiples vulnérabilités dans PHP 5 permettent l'exécution de code arbitraire à distance et le contournement de la politique de sécurité.

Description

De multiples vulnérabilités ont été découvertes dans PHP. L'une d'entre elles permet de contourner le mode safe_mode. D'autres failles permettent l'exécution de code arbitraire à distance.

Solution

Mettre PHP à jour en version 5.2.6 (cf. section Documentation).

Documentation

Notes de version PHP 5.2.6 du 01 mai 2008

http://www.php.net/ChangeLog-5.php

Bulletin de sécurité Fedora FEDORA-2008-3864 du 20 juin 2008 :

https://www.redhat.com/archives/fedora-package-announce/2008-june/msg00773.html

Version 5.2.6 de PHP :

http://www.php.net/downloads.php#v5

Référence CVE CVE-2008-0599

https://www.cve.org/CVERecord?id=CVE-2008-0599

Référence CVE CVE-2008-2051

https://www.cve.org/CVERecord?id=CVE-2008-2051

Référence CVE CVE-2008-2107

https://www.cve.org/CVERecord?id=CVE-2008-2107

Référence CVE CVE-2008-2108

https://www.cve.org/CVERecord?id=CVE-2008-2108

Gestion détaillée du document

le 02 mai 2008: version initiale.
le 25 juin 2008: ajout des références aux CVE et au bulletin de sécurité Fedora.