Sigurnosni propusti paketa php

Pronađeni su višestruki propusti paketa php koji su zlonamjernom korisniku omogućavali proizvoljno izvođenje programskog koda ili uskraćivanje usluga.

Paket:	PHP 5.0.x
Operacijski sustavi:	Ubuntu Linux 8.04, Ubuntu Linux 10.04, Ubuntu Linux 11.04, Ubuntu Linux 11.10, Ubuntu Linux 12.04
Kritičnost:	10
Problem:	pogreška u programskoj funkciji, pogreška u programskoj komponenti
Iskorištavanje:	udaljeno
Posljedica:	proizvoljno izvršavanje programskog koda, uskraćivanje usluga (DoS), zaobilaženje postavljenih ograničenja
Rješenje:	programska zakrpa proizvođača
CVE:	CVE-2011-1398, CVE-2012-4388, CVE-2012-2688, CVE-2012-3450
Izvorni ID preporuke:	USN-1569-1
Izvor:	Ubuntu

Problem:
Problemi se javljaju zbog funkcije sapi_header_op koja nepravilno rukuje s %0D sekvencama, te zbog neodgovarajućeg rukovanja s ponekim HTTP nizovima. Problemi se također javljaju prilikom rada s velikim brojem datoteka te kod neispravnog parsiranja PDO izjava.
Posljedica:
Zlonamjerni korisnik je mogao iskoristiti propuste kako bi zaobišao postavljena ograničenja u pojedinim internetskim preglednicima, proizvoljno izvodio programski kod ili kako bi uskratio usluge.
Rješenje:
Svim korisnicima se savjetuje nadogradnja paketa.

Izvorni tekst preporuke

==========================================================================
Ubuntu Security Notice USN-1569-1
September 17, 2012

php5 vulnerabilities
==========================================================================

A security issue affects these releases of Ubuntu and its derivatives:

- Ubuntu 12.04 LTS
- Ubuntu 11.10
- Ubuntu 11.04
- Ubuntu 10.04 LTS
- Ubuntu 8.04 LTS

Summary:

Several security issues were fixed in PHP.

Software Description:
- php5: HTML-embedded scripting language interpreter

Details:

It was discovered that PHP incorrectly handled certain character sequences
when applying HTTP response-splitting protection. A remote attacker could
create a specially-crafted URL and inject arbitrary headers.
(CVE-2011-1398, CVE-2012-4388)

It was discovered that PHP incorrectly handled directories with a large
number of files. This could allow a remote attacker to execute arbitrary
code with the privileges of the web server, or to perform a denial of
service. (CVE-2012-2688)

It was discovered that PHP incorrectly parsed certain PDO prepared
statements. A remote attacker could use this flaw to cause PHP to crash,
leading to a denial of service. (CVE-2012-3450)

Update instructions:

The problem can be corrected by updating your system to the following
package versions:

Ubuntu 12.04 LTS:
  php5                            5.3.10-1ubuntu3.4

Ubuntu 11.10:
  php5                            5.3.6-13ubuntu3.9

Ubuntu 11.04:
  php5                            5.3.5-1ubuntu7.11

Ubuntu 10.04 LTS:
  php5                            5.3.2-1ubuntu4.18

Ubuntu 8.04 LTS:
  php5                            5.2.4-2ubuntu5.26

In general, a standard system update will make all the necessary changes.

References:
  http://www.ubuntu.com/usn/usn-1569-1
  CVE-2011-1398, CVE-2012-2688, CVE-2012-3450, CVE-2012-4388

Package Information:
  https://launchpad.net/ubuntu/+source/php5/5.3.10-1ubuntu3.4
  https://launchpad.net/ubuntu/+source/php5/5.3.6-13ubuntu3.9
  https://launchpad.net/ubuntu/+source/php5/5.3.5-1ubuntu7.11
  https://launchpad.net/ubuntu/+source/php5/5.3.2-1ubuntu4.18
  https://launchpad.net/ubuntu/+source/php5/5.2.4-2ubuntu5.26

Sigurnosni propusti paketa php

Tražilica portala

Aktivnosti

O CIS-u

Posljednje vijesti

Posljednji dokumenti

Sigurnosni propusti paketa php

Tražilica portala

Aktivnosti

O CIS-u

Posljednje sigurnosne preporuke

Posljednje vijesti

Popularni članci

Posljednji dokumenti