CERT-FI haavoittuvuustiedote 115/2009

20.11.2009

Päivitys PHP-ohjelmointikieleen

Kohde:	- palvelimet ja palvelinsovellukset	Lisätietoja
Hyökkäystapa:	- etäkäyttö	Lisätietoja
Hyväksikäyttö:	- palvelunestohyökkäys - suojauksen ohittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

PHP on verkkosovellusten tekoon usein käytetty ohjelmointikieli. PHP:n uusin versio 5.3.1 korjaa useiden toimintoihin liittyviin virheisiin lisäksi haavoittuvuuksia.

Haavoittuvuuksista kolme liittyy tiedostojärjestelmän käsittelyyn. Niiden vaikutuksista ei ole julkaistu tarkkoja tietoja, mutta ne mahdollistavat ainakin kielen suojausten (open_basedir, safe_mode) ohituksen.

Yksi haavoittuvuuksista liittyy palvelimelle ladattujen tiedostojen enimmäismäärän rajoittamiseen. Hyökkääjä voi haavoittuvuutta hyväksikäyttämällä saattaa kohteen palvelunestotilaan lataamalla palvelimelle suuren määrän tiedostoja.

HAAVOITTUVAT OHJELMISTOT:

• PHP ennen versiota 5.3.1
  

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva ohjelmisto valmistajan ohjeen mukaisesti.

LISÄTIETOA:

• http://www.php.net/releases/5_3_1.php
• http://www.openwall.com/lists/oss-security/2009/11/20/3
• http://www.openwall.com/lists/oss-security/2009/11/23/14
  
• http://www.openwall.com/lists/oss-security/2009/11/23/15
  
• CVE-2009-3557
• CVE-2009-3558
• CVE-2009-3559
• CVE-2009-4017
• CVE-2009-4018

PÄIVITYSHISTORIA:

20.11.2009, kello 17.00: Julkaistu
24.11.2009, kello 9.25: Lisätty CVE-numeroita ja linkit niitä selittäviin postituslistaviesteihin

Sivua päivitetty 24.11.2009

Tulostusversio