PHP 5.4.3 et PHP 5.3.13 corrigent une faille critique activement exploitée dans CGI
La mise à jour fortement conseillée

Le , par Hinault Romaric, Responsable .NET
L’équipe de PHP vient de publier les mises à jour PHP 5.4.3 et PHP 5.3.13 qui corrigent une faille de sécurité critique dans le langage, activement exploitée.

La vulnérabilité CVE-2012-1823 située dans php-cgi change l’interprétation de la chaine de caractères contenant "–", pour que le composant php-cgi puisse gérer des lignes de commandes comme -s, -d, -c.

La faille peut-être exploitée pour retourner le code source d’une page si la chaine –s est passée comme paramètre dans une URL. Elle peut également permettre à un pirate distant de prendre le contrôle d’un serveur.

Le bug avait été découvert par un groupe d’experts en sécurité néerlandais en janvier. Les développeurs de PHP avaient libéré un correctif d’urgence (PHP 5.3.12 et PHP 5.4.2) qui s'est avéré inefficace et facilement contournable.

Par ailleurs, la faille est restée confidentielle jusqu’à sa divulgation accidentelle la semaine dernière, avec tous les détails la concernant.

L’équipe PHP encourage donc fortement les utilisateurs à mettre à jour leurs versions vers les plus récentes ou, à défaut, modifier leur configuration pour utiliser FastCGI ou le module PHP sous Apache.

Télécharger PHP 5.3.13 et PHP 5.4.3

Source : PHP


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de tontonnux tontonnux - Membre expérimenté https://www.developpez.com
le 10/05/2012 à 13:50
Citation Envoyé par Hinault Romaric  Voir le message
La faille peut-être exploitée pour retourner le code source d’une page si la chaine –s est passée comme paramètre dans une URL.

Y'en a qui ont du avoir une attaque en voyant leurs identifiants/mpd de SGBD s'afficher en clair.
Avatar de jmnicolas jmnicolas - Membre éprouvé https://www.developpez.com
le 10/05/2012 à 15:16
Citation Envoyé par Hinault Romaric  Voir le message
[B][SIZE="4"]Les développeurs de PHP avaient libéré un correctif d’urgence (PHP 5.3.12 et PHP 5.4.2) qui s'est avéré inefficace et facilement contournable.

Peut on savoir quelles étaient les revendications des ravisseurs ?

(désolé, pas pu m'empêcher ====>[] )
Offres d'emploi IT
Développeur Web FULL-STACK
VACALIANS GROUP - Languedoc Roussillon - SETE (34)
Développeur WEB PHP F/H
VACALIANS GROUP - Languedoc Roussillon - SETE (34)
RESPONSABLE WEB ANALYTICS F/H
VACALIANS GROUP - Languedoc Roussillon - SETE (34)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil