Avis du CERT-FR

Objet: Vulnérabilités dans PHP

Gestion du document

Référence	CERTA-2006-AVI-134
Titre	Vulnérabilités dans PHP
Date de la première version	04 avril 2006
Date de la dernière version	04 avril 2006
Source(s)	Aucune Pièce(s) jointe(s)
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Atteinte à la confidentialité des données.

Systèmes affectés

PHP 4.3.x
PHP 4.4.x
PHP 5.0.x
PHP 5.1.x

Description

Une nouvelle vulnérabilité a été découverte dans PHP. Cette vulnérabilité permet d'accéder à des informations sensibles comme des mots de passe. Cette vulnérabilité est due à la fonction PHP html_entity_decode() qui peut être utilisée par un attaquant pour récupérer des informations sensibles insérées dans des scripts PHP.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Mandriva MDKSA-2006:063 du 04 avril 2006 :

http://wwwnew.mandriva.com/security/advisories?name=MDKSA-2006:063

Référence CVE CAN-2006-1490 :

https://www.cve.org/CVERecord?id=CAN-2006-1490

Gestion détaillée du document

le 04 avril 2006: version initiale.