S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 07 mai 2007
N° CERTA-2007-AVI-201-001
Affaire suivie par: CERT-FR
le 07 mai 2007

Avis du CERT-FR

Objet: Multiples vulnérabilités dans PHP

Gestion du document

Référence CERTA-2007-AVI-201-001
Titre Multiples vulnérabilités dans PHP
Date de la première version 07 mai 2007
Date de la dernière version 29 mai 2007
Source(s) Bulletins des mises à jour PHP du 03 mai 2007
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance ;
  • déni de service à distance ;
  • contournement de la politique de sécurité.

Systèmes affectés

  • PHP 4, pour les versions antérieures à 4.4.7 ;
  • PHP 5, pour les versions antérieures à 5.2.2.

Résumé

Plusieurs vulnérabilités avaient été identifiées à l'occasion du MoPB (le Month Of PHP Bugs). L'exploitation de ces dernières peut avoir divers impacts sur le serveur vulnérable. Les mises à jour récentes de PHP corrigent la plupart de ces vulnérabilités.

Description

Plusieurs vulnérabilités avaient été identifiées en mars 2007 à l'occasion du MoPB (le Month Of PHP Bugs). A cette occasion, le CERTA a publié dans son bulletin d'actualité CERTA-2007-ACT-012 une revue des plus importantes d'entre elles. Les conséquences de l'exploitation de ces dernières sont diverses, pouvant être un dysfonctionnement du serveur vulnérable ou l'exécution de code arbitraire sur celui-ci.

Solution

Se référer aux bulletins de sécurité des différents éditeurs pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 07 mai 2007
    version initiale.
    le 29 mai 2007
    ajout des réfŕences aux bulletins de sécurité Gentoo, SuSE, Mandriva, Red Hat.