Risque
Déni de service.
Systèmes affectés
- PHP 4.2.x ;
- PHP 4.3.x ;
- PHP 5.0.x.
Résumé
Deux vulnérabilités dans PHP permettent à un utilisateur mal intentionné d'effectuer un déni de service à distance sur la plate-forme vulnérable.
Description
PHP est un langage de script permettant la réalisation de pages web dynamiques.
Deux vulnérabilités découvertes dans les fonctions php_handle_iff() et php_handle_jpeg() peuvent être exploitées par un individu mal intentionné, au moyen d'une image malicisieusement construite afin de consommer toutes les ressources CPU du système.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Site Internet de l'éditeur :
http://www.php.net
- Bulletin de sécurité iDEFENSE #222 du 31 mars 2005 :
http://www.idefense.com/application/poi/display?id=222&type=vulnerabilities
- Bulletin de sécurité PHP du 01 avril 2005 :
http://www.php.net/release_4_3_11.php
- Mise à jour de sécurité PHP 4.3.11 du 01 avril 2005 :
http://www.php.net/downloads.php
- Bulletin de sécurité Debian DSA-708 du 15 avril 2005 :
http://www.debian.org/security/2005/dsa-708
- Bulletin de sécurité Debian DSA-729 du 26 mai 2005 :
http://www.debian.org/security/2005/dsa-729
- Bulletin de sécurité Mandriva MDKSA-2005:072 du 18 avril 2005 :
http://www.mandriva.com/security/advisories?name=MDKSA-2005:072
- Bulletin de sécurité Gentoo GLSA 200504-15/php du 18 avril 2005 :
http://www.gentoo.org/security/en/glsa/glsa-200504-15.xml
- Bulletin de sécurité RedHat RHSA-2005:405 du 28 avril 2005 :
http://rhn.redhat.com/errata/RHSA-2005-405.html
- Bulletin de sécurité RedHat RHSA-2005:406 du 04 mai 2005 :
http://rhn.redhat.com/errata/RHSA-2005-406.html
- Bulletin de sécurité Avaya ASA-2005-136 du 14 juin 2005 :
http://support.avaya.com/elmodocs2/security/ASA-2005-136_RHSA-2005-405_RHSA-2005-406.pdf
- Référence CVE CAN-2005-0524 :
https://www.cve.org/CVERecord?id=CAN-2005-0524
- Référence CVE CAN-2005-0525 :
https://www.cve.org/CVERecord?id=CAN-2005-0525
