Risques
- Atteinte à la confidentialité des données
- Déni de service à distance
Systèmes affectés
- PHP, versions antérieures à la version 5.3.9
Résumé
Plusieurs vulnérabilités de PHP permettent à un attaquant de provoquer un déni de service à distance ou de lire indûment des données.
Description
PHP présente des vulnérabilités :
- le système de calcul de condensats pour les formulaires permet de provoquer un déni de service à distance par épuisement des ressources processeur ;
- sur les systèmes en 32 bits, le traitement defectueux d'en-têtes EXIF permet à un attaquant de lire des zones de la mémoire pour lesquelles il ne dispose pas des droits ou de provoquer un arrêt inopiné du système.
Solution
La version PHP 5.3.9 corrige ces problèmes.
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Liste des changements de la version 5.3.9 de PHP du 10 janvier 2012 du 10 janvier 2012 http://www.php.net/Change-Log5.php
- Note de vulnérabilité de l'US-CERT VU#903934 du 30 décembre 2011 : http://www.kb.cert.org/vuls/id/903934
- Référence CVE CVE-2011-4566 https://www.cve.org/CVERecord?id=CVE-2011-4566
- Référence CVE CVE-2011-4885 https://www.cve.org/CVERecord?id=CVE-2011-4885
