S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 16 janvier 2012
N° CERTA-2012-AVI-021
Affaire suivie par: CERT-FR
le 16 janvier 2012

Avis du CERT-FR

Objet: Vulnérabilités dans PHP

Gestion du document

Référence CERTA-2012-AVI-021
Titre Vulnérabilités dans PHP
Date de la première version 16 janvier 2012
Date de la dernière version 16 janvier 2012
Source(s) Liste des changements de la version 5.3.9 de PHP du 10 janvier 2012
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Déni de service à distance ;
  • atteinte à la confidentialité des données.

Systèmes affectés

PHP, versions antérieures à la version 5.3.9

Résumé

Plusieurs vulnérabilités de PHP permettent à un attaquant de provoquer un déni de service à distance ou de lire indûment des données.

Description

PHP présente des vulnérabilités :

  • le système de calcul de condensats pour les formulaires permet de provoquer un déni de service à distance par épuisement des ressources processeur ;
  • sur les systèmes en 32 bits, le traitement defectueux d'en-têtes EXIF permet à un attaquant de lire des zones de la mémoire pour lesquelles il ne dispose pas des droits ou de provoquer un arrêt inopiné du système.

Solution

La version PHP 5.3.9 corrige ces problèmes.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 16 janvier 2012
    version initiale.