Risque
- Contournement de la politique de sécurité
Systèmes affectés
- PHP version 5.2.7.
Résumé
La version 5.2.7 de PHP récemment publiée présente une régression de fonctionnalité des magic_quotes pouvant permettre de contourner la politique de sécurité mise en place.
Description
La version 5.2.7 de PHP récemment publiée présente une régression de fonctionnalité des magic_quotes. Une extension de filtrage (ext/filter) change la valeur de magic_quotes_gpc à "off", rendant le site potentiellement vulnérable à certaines classes d'attaques.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Avis JVN JVNDB-2008-000084 du 19 décembre 2008 : http://jvndb.jvn.jp/en/contents/2008/JVNDB-2008-000084.html
- Note de changement PHP 5.2.8 du 08 décembre 2008 : http://www.php.net/archive/2008#id2008-12-08-01
- Signalement d'erreur PHP par S. Esser : http://www.suspekt.org/2008/12/07/php-527-beware-magic-quotes-gpc-broken/
- Référence CVE CVE-2008-5814 https://www.cve.org/CVERecord?id=CVE-2008-5814
