Background Print only logo
Cert logo
på svenska | in English
www.viestintävirasto.fi
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

Kyberturvallisuuskeskus

PL 313
00181 Helsinki

Mediayhteydenotot puhelimitse:
0295 390 248

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puhelinvaihde: 0295 390 100

Tarkat yhteystiedot

Tietoa evästeistä

Kyberturvallisuuskeskus Facebookissa

Etusivu > Haavoittuvuudet > 2004 > Haavoittuvuustiedote 090/2004

Haavoittuvuustiedote 090/2004

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

20.12.2004

Useita haavoittuvuuksia PHP-ohjelmointikielessä

     
Kohde: - palvelimet ja palvelinsovellukset
- työasemat ja loppukäyttäjäsovellukset
Lisätietoja
Hyökkäystapa: - etäkäyttö
Lisätietoja
Hyväksikäyttö: - komentojen mielivaltainen suorittaminen
- luottamuksellisen tiedon hankkiminen
Lisätietoja
Ratkaisu: - korjaava ohjelmistopäivitys
Lisätietoja

PHP on laajasti web-ympäristössä käytössä oleva ohjelmointikieli. PHP-ohjelmointikielestä on löydetty useita haavoittuvuuksia.

Löydetyt haavoittuvuudet sijaitsevat useissa PHP-ohjelmointikielen funktioissa ja ne liittyvät esimerkiksi safe_mode -funktion ohittamiseen ja eri funktioille lähetettyjen parametrien puutteelliseen tarkistukseen. Osaa haavoittuvuuksista hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdetietojärjestelmässä omia komentojaan. Joitakin haavoittuvuuksia hyväksikäyttämällä hyökkääjän on mahdollista päästä käsiksi kohdepalvelimen tietoihin.

HAAVOITTUVAT OHJELMISTOT:

  • PHP 4.3.10 aiemmat versiot

  • PHP 5.0.3 aiemmat versiot

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva tietojärjestelmä turvallisella ohjelmistoversiolla, joka on ladattavissa osoitteesta:

http://www.php.net/downloads.php

LISÄTIETOA:

http://www.hardened-php.net/advisories/012004.txt

http://www.securityfocus.com/archive/1/384663/2004-12-13/2004-12-19/0

http://www.php.net/

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1018

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1019

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1063

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1064

PÄIVITYSHISTORIA:

20.12.2004: Julkaistu
Sivua päivitetty 19.07.2007   Tulostusversio Tulostusversio