S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 28 février 2002
N° CERTA-2002-AVI-047
Affaire suivie par: CERT-FR
le 28 février 2002

Avis du CERT-FR

Objet: Vulnérabilités de PHP

Gestion du document

Référence CERTA-2002-AVI-047
Titre Vulnérabilités de PHP
Date de la première version 28 février 2002
Date de la dernière version 28 février 2002
Source(s) Avis de sécurité CA-2002-05 du CERT/CC
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Exécution d'un code arbitraire à distance.

Systèmes affectés

  • PHP de la version 3.10 à la version 3.18.
  • PHP de la version 4.0.1 à la version 4.1.1

Résumé

Plusieurs vulnérabilités de type « débordement de mémoire » permettent à un utilisateur mal intentionné d'exécuter un code arbitraire à distance.

Description

PHP est un langage permettant la création de pages Web dynamiques.

Plusieurs débordements de mémoire présents dans la fonction php_mime_split (fonction servant à traiter les requêtes HTTP de type «POST multiple-part») permettent à un utilisateur mal intentionné l'exécution d'un code arbitraire à distance.

Contournement provisoire

Désactiver la fonction upload (file_upload = off) dans le fichier php.ini.

Solution

Installer la version 4.1.2 de PHP disponible sur 

http://www.php.net
ou appliquer le correctif de la version concernée.

Documentation

Avis de sécurité CA-2002-05 du CERT/CC : 

http://www.cert.org/advisories/CA-2002-05.html

Gestion détaillée du document

    le 28 février 2002
    version initiale.