CERTA : Vulnérabilité dans PHP 4
janvier 2008 par CERT-FR
1 Risque
* Déni de service à distance ;
* contournement de la politique de sécurité.
2 Systèmes affectés
PHP versions 4.4.7 et antérieures.
3 Résumé
De multiples vulnérabilités présentes dans PHP 4 permettent à un utilisateur
distant de contourner la politique de sécurité ou de provoquer un déni de
service.
4 Description
De multiples vulnérabilités ont été identifiées dans la branche 4 de PHP :
* plusieurs d’entre elles de type débordement de mémoire permettent à un
utilisateur distant de provoquer un déni de service ;
* d’autres encore permettent à un utilisateur distant de contourner les
restrictions mises en place lors de l’installation et la configuration de
PHP.
5 Solution
La version 4.4.8 de PHP corrige le problème. Cependant, dans la mesure où la
branche 4 de PHP est en fin de vie, il est recommandé de migrer vers la
dernière version de la branche 5 : la 5.2.5 au moment de la rédaction du
présent document.
http://www.php.net/downloads.php
6 Documentation
* Site de PHP :
* Liste des changements apportés à la version 4.4.8 de PHP :
http://www.php.net/releases/4_4_8.php
* Référence CVE CVE-2007-3378 :