Detalji

U radu programskog paketa php5 uočeni su i ispravljeni sigurnosni propusti. Spomenute propuste udaljeni napadač je mogao iskoristiti za izvođenje DoS napada, čitanje sadržaja proizvoljnih memorijskih lokacija, stvaranje proizvoljnih datoteka, proizvoljno izvršavanje programskog koda te za izvođenje napada ubacivanja SQL koda (eng. SQL injection attacks).

Paket: PHP 5.3.x
Operacijski sustavi: openSUSE 12.1
Kritičnost: 6.5
Problem: cjelobrojno prepisivanje, neodgovarajuće rukovanje memorijom, pogreška u programskoj funkciji, pogreška u programskoj komponenti, preljev međuspremnika
Iskorištavanje: udaljeno
Posljedica: otkrivanje osjetljivih informacija, pokretanje SQL koda, proizvoljno izvršavanje programskog koda, uskraćivanje usluga (DoS)
Rješenje: programska zakrpa proizvođača
CVE: CVE-2011-1466, CVE-2011-4153, CVE-2011-4566, CVE-2011-4885, CVE-2012-0057, CVE-2012-0781, CVE-2012-0788, CVE-2012-0789, CVE-2012-0807, CVE-2012-0830, CVE-2012-0831
Izvorni ID preporuke: openSUSE-SU-2012:0426-1
Izvor: SUSE
 
Problem:
Propusti su posljedica pogrešaka u funkcijama "SdnToJulian", "zend_strndup", "exif_process_IFD_TAG","tidy_diagnose","suhosin_encrypt_single_cookie" i "php_register_variable_ex" , implementaciji "PDORow", nepravilnog izračunavanja hash vrijednosti te neodgovarajućih sigurnosnih postavki u "libxslt".
Posljedica:
Udaljeni napadač može iskoristiti navedene nedostatke za izvođenje DoS napada, čitanje sadržaja proizvoljnih memorijskih lokacija, stvaranje proizvoljnih datoteka, proizvoljno izvršavanje programskog koda te za izvođenje napada ubacivanja SQL koda.
Rješenje:
Preporuča se primjena nadogradnje.

Izvorni tekst preporuke
Idi na vrh