Risque
- Déni de service à distance ;
- atteinte à la confidentialité des données.
Systèmes affectés
PHP, versions antérieures à la version 5.3.9
Résumé
Plusieurs vulnérabilités de PHP permettent à un attaquant de provoquer un déni de service à distance ou de lire indûment des données.
Description
PHP présente des vulnérabilités :
- le système de calcul de condensats pour les formulaires permet de provoquer un déni de service à distance par épuisement des ressources processeur ;
- sur les systèmes en 32 bits, le traitement defectueux d'en-têtes EXIF permet à un attaquant de lire des zones de la mémoire pour lesquelles il ne dispose pas des droits ou de provoquer un arrêt inopiné du système.
Solution
La version PHP 5.3.9 corrige ces problèmes.
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Liste des changements de la version 5.3.9 de PHP du 10 janvier 2012 :
http://www.php.net/ChangeLog-5.php
- Note de vulnérabilité de l'US-CERT VU#903934 du 30 décembre 2011 :
http://www.kb.cert.org/vuls/id/903934
- Référence CVE CVE-2011-4566 :
https://www.cve.org/CVERecord?id=CVE-2011-4566
- Référence CVE CVE-2011-4885 :
https://www.cve.org/CVERecord?id=CVE-2011-4885