Premier Ministre

S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 13 août 2010

N° CERTA-2010-AVI-385

Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilités dans PHP

Gestion du document

Référence	CERTA-2010-AVI-385
Titre	Vulnérabilités dans PHP
Date de la première version	13 août 2010
Date de la dernière version	13 août 2010
Source(s)	Bulletin de version de PHP du 22 juillet 2010

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

Atteinte à l'intégrité des données
Atteinte à la confidentialité des données
Contournement de la politique de sécurité

Systèmes affectés

PHP 5.2.x.
PHP 5.3.x ;

Résumé

Plusieurs vulnérabilités dans PHP ont été publiées et corrigées.

Description

Plusieurs vulnérabilités affectent PHP. Elles permettent en particulier à un utilisateur malveillant de contourner la politique de sécurité, de lire indûment des données ou dupliquer des objets.

Solution

Les versions 5.3.3 et 5.2.14 de PHP remédient à ces problèmes.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de version de PHP du 22 juillet 2010

http://www.php.net/ChangeLog-5.php

Référence CVE CVE-2010-0397

https://www.cve.org/CVERecord?id=CVE-2010-0397

Référence CVE CVE-2010-2225

https://www.cve.org/CVERecord?id=CVE-2010-2225

Référence CVE CVE-2010-2484

https://www.cve.org/CVERecord?id=CVE-2010-2484

Référence CVE CVE-2010-2531

https://www.cve.org/CVERecord?id=CVE-2010-2531

Gestion détaillée du document

le 13 août 2010: version initiale.