CERT-FI haavoittuvuustiedote 090/2004

20.12.2004

Useita haavoittuvuuksia PHP-ohjelmointikielessä

Kohde:	- palvelimet ja palvelinsovellukset - työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen - luottamuksellisen tiedon hankkiminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

PHP on laajasti web-ympäristössä käytössä oleva ohjelmointikieli. PHP-ohjelmointikielestä on löydetty useita haavoittuvuuksia.

Löydetyt haavoittuvuudet sijaitsevat useissa PHP-ohjelmointikielen funktioissa ja ne liittyvät esimerkiksi safe_mode -funktion ohittamiseen ja eri funktioille lähetettyjen parametrien puutteelliseen tarkistukseen. Osaa haavoittuvuuksista hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdetietojärjestelmässä omia komentojaan. Joitakin haavoittuvuuksia hyväksikäyttämällä hyökkääjän on mahdollista päästä käsiksi kohdepalvelimen tietoihin.

HAAVOITTUVAT OHJELMISTOT:

• PHP 4.3.10 aiemmat versiot

• PHP 5.0.3 aiemmat versiot

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva tietojärjestelmä turvallisella ohjelmistoversiolla, joka on ladattavissa osoitteesta:

http://www.php.net/downloads.php

LISÄTIETOA:

http://www.hardened-php.net/advisories/012004.txt

http://www.securityfocus.com/archive/1/384663/2004-12-13/2004-12-19/0

http://www.php.net/

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1018

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1019

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1063

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1064

PÄIVITYSHISTORIA:

20.12.2004: Julkaistu

Sivua päivitetty 19.07.2007

Tulostusversio