CERT-FI haavoittuvuustiedote 106/2007

3.9.2007

Päivitys PHP-ohjelmointikieleen

Kohde:	- palvelimet ja palvelinsovellukset	Lisätietoja
Hyökkäystapa:	- ilman kirjautumista - etäkäyttö - ilman käyttäjän toimia	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen - käyttövaltuuksien laajentaminen - tietojen muokkaaminen - luottamuksellisen tiedon hankkiminen - palvelunestohyökkäys - suojauksen ohittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Verkkosovellusten tekoon usein käytetystä ohjelmointikieli PHP:stä on julkaistu uusi versio, joka korjaa kielestä yli 120 ohjelmistovirhettä ja 11 haavoittuvuutta. Haavoittuvuuksia hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa haavoittuvaa versiota PHP:sta käyttävässä verkkosovelluspalvelimessa omia komentojaan.

HAAVOITTUVAT OHJELMISTOT:

• PHP ennen versiota 5.2.4

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä PHP versioon 5.2.4 valmistajan ohjeiden mukaisesti.

LISÄTIETOA:

• http://www.php.net/releases/5_2_4.php
• http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-3378
• http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-3806
• http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-2872
• http://www.php-security.org/MOPB/MOPB-03-2007.html
• http://www.secweb.se/en/advisories/php-imagecreatetruecolor-integer-overflow/
• http://www.secweb.se/en/advisories/php-imagecopyresized-integer-overflow/
• http://www.secweb.se/en/advisories/php-mysql-safe-mode-bypass-vulnerability/

PÄIVITYSHISTORIA:

3.9.2007, kello 14.15: Julkaistu

Sivua päivitetty 03.09.2007

Tulostusversio