Premier Ministre

S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 03 février 2012

N° CERTA-2012-AVI-055

Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans PHP

Gestion du document

Référence	CERTA-2012-AVI-055
Titre	Vulnérabilité dans PHP
Date de la première version	03 février 2012
Date de la dernière version	03 février 2012
Source(s)	Annonce de la version 5.3.10 de PHP du 02 février 2012

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Exécution de code arbitraire à distance

Systèmes affectés

PHP version 5.3.9.

Résumé

Une vulnérabilité dans PHP permet à un attaquant d'exécuter du code arbitraire à distance.

Description

La correction imparfaite de la vulnérabilité CVE-2011-4885 dans PHP a introduit une nouvelle vulnérabilité. L'utilisation de mémoire non initialisée permet à un attaquant de provoquer un arrêt inopiné du serveur et d'exécuter du code arbitraire avec les droits du compte utilisé par l'interpréteur PHP.

Solution

La version 5.3.10 de PHP corrige ce problème.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Annonce de la version 5.3.10 de PHP du 02 février 2012

http://www.php.net/archive/2012.php

Bulletin de sécurité Debian DSA-2403-1 du 02 février 2012 :

http://www.debian.org/security/2012/dsa-2403

Bulletin de sécurité Red Hat RHSA-2012:0093-1du 02 février 2012 :

https://rhn.redhat.com/errate/RHSA-2012:0093.html

Référence CVE CVE-2011-4885

https://www.cve.org/CVERecord?id=CVE-2011-4885

Référence CVE CVE-2012-0830

https://www.cve.org/CVERecord?id=CVE-2012-0830

Gestion détaillée du document

le 03 février 2012: version initiale.