CERTA-2004-AVI-344
Vulnerability from certfr_avis - Published: 2004-10-14 - Updated: 2004-10-14
Deux vulnérabilités dans PHP permettent à un utilisateur mal intentionné à distance de porter atteinte à la confidentialité et à l'intégrité des données.
Description
PHP est un langage de script permettant la réalisation de pages web dynamiques. Deux vulnérabilités viennent d'être découvertes :
- Une première vulnérabilité est dûe à un mauvais traitement dans php_variables.c. Cette vulnérabilité permet à un utilisateur mal intentionné de prendre connaissance des informations présentes sur le système vulnérable.
- Une seconde vulnérabilité concerne la fonction SAPI_POST_HANDLER_FUNC() présente dans rfc1867.c, elle permet à un utilisateur mal intentionné de porter atteinte à l'intégrité des données.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation)
NoneReferences
| Title | Publication Time | Tags | ||||||
|---|---|---|---|---|---|---|---|---|
|
||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "PHP 5.0.1",
"product": {
"name": "PHP",
"vendor": {
"name": "PHP",
"scada": false
}
}
},
{
"description": "PHP 5.0",
"product": {
"name": "PHP",
"vendor": {
"name": "PHP",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Description\n\nPHP est un langage de script permettant la r\u00e9alisation de pages web\ndynamiques. Deux vuln\u00e9rabilit\u00e9s viennent d\u0027\u00eatre d\u00e9couvertes :\n\n- Une premi\u00e8re vuln\u00e9rabilit\u00e9 est d\u00fbe \u00e0 un mauvais traitement dans\n php_variables.c. Cette vuln\u00e9rabilit\u00e9 permet \u00e0 un utilisateur mal\n intentionn\u00e9 de prendre connaissance des informations pr\u00e9sentes sur\n le syst\u00e8me vuln\u00e9rable.\n- Une seconde vuln\u00e9rabilit\u00e9 concerne la fonction\n SAPI_POST_HANDLER_FUNC() pr\u00e9sente dans rfc1867.c, elle permet \u00e0 un\n utilisateur mal intentionn\u00e9 de porter atteinte \u00e0 l\u0027int\u00e9grit\u00e9 des\n donn\u00e9es.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation)\n",
"cves": [],
"initial_release_date": "2004-10-14T00:00:00",
"last_revision_date": "2004-10-14T00:00:00",
"links": [
{
"title": "Site Internet de PHP :",
"url": "http://www.php.net"
}
],
"reference": "CERTA-2004-AVI-344",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2004-10-14T00:00:00.000000"
}
],
"risks": [
{
"description": "Atteinte \u00e0 l\u0027int\u00e9grit\u00e9 des donn\u00e9es"
},
{
"description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
}
],
"summary": "Deux vuln\u00e9rabilit\u00e9s dans PHP permettent \u00e0 un utilisateur mal intentionn\u00e9\n\u00e0 distance de porter atteinte \u00e0 la confidentialit\u00e9 et \u00e0 l\u0027int\u00e9grit\u00e9 des\ndonn\u00e9es.\n",
"title": "Multiples vuln\u00e9rabilit\u00e9s dans PHP",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 Gentoo GLSA 200410-04 / PHP",
"url": "http://www.gentoo.org/security/en/glsa/glsa-200410-04.xml"
}
]
}
Loading…
Loading…
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.
Loading…
Loading…