Vulnérabilité dans PHP

Gestion du document

Référence	CERTA-2012-AVI-055
Titre	Vulnérabilité dans PHP
Date de la première version	03 février 2012
Date de la dernière version	03 février 2012
Source(s)	Annonce de la version 5.3.10 de PHP du 02 février 2012
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Exécution de code arbitraire à distance.

Systèmes affectés

PHP version 5.3.9.

Résumé

Une vulnérabilité dans PHP permet à un attaquant d'exécuter du code arbitraire à distance.

Description

La correction imparfaite de la vulnérabilité CVE-2011-4885 dans PHP a introduit une nouvelle vulnérabilité. L'utilisation de mémoire non initialisée permet à un attaquant de provoquer un arrêt inopiné du serveur et d'exécuter du code arbitraire avec les droits du compte utilisé par l'interpréteur PHP.

Solution

La version 5.3.10 de PHP corrige ce problème.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Annonce de la version 5.3.10 de PHP du 02 février 2012 :
```
http://www.php.net/archive/2012.php
```
Bulletin de sécurité Debian DSA-2403-1 du 02 février 2012 :
```
http://www.debian.org/security/2012/dsa-2403
```
Bulletin de sécurité Red Hat RHSA-2012:0093-1du 02 février 2012 :
```
https://rhn.redhat.com/errate/RHSA-2012:0093.html
```

Référence CVE CVE-2012-0830 :

https://www.cve.org/CVERecord?id=CVE-2012-0830

Avis du CERT-FR

Objet: Vulnérabilité dans PHP