Risque

  • Déni de service à distance ;
  • contournement de la politique de sécurité ;
  • injection de code indirecte.

Systèmes affectés

PHP versions 5.2.11 et antérieures.

Résumé

De multiples vulnérabilités ont été découvertes dans PHP. L'exploitation de ces vulnérabilités permet de réaliser des actions diverses dont le déni de service à distance ou la contournement de certains mécanismes de sécurité.

Description

Cinq vulnérabilités ont été découvertes dans PHP :

  • la première est due à une erreur dans la fonction tempnam(), permettant de contourner le mécanisme de safe_mode ;
  • la deuxième est due à une erreur dans la fonction posix_mkfifo(), permettant de contourner la fonctionalité open_basedir ;
  • la troisième est due à une erreur dans la gestion du chargement de certaines données et peut être utilisée afin de provoquer un déni de service ;
  • la quatrième est due à une mauvaise gestion des sessions (l'impact n'est pas connu) ;
  • la dernière est due à une erreur au niveau de la fonction htmlspecialchars() et permet à un utilisateur mal intentionné de réaliser une injection de code indirecte.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation