Avis de sécurité ZHFR-432
| Date de publication: | 15/08/2005 | |
Auteur: Stefan Esser, Hardened-PHP Project
Vulnérabilité: Erreur de vérification des données
Impact: Accès au système
D'où: A distance
Risque: 
Elevé
Solution: Correctif
SE: Tous
Produit: PEAR XML_RPC
Versions affectées: 1.xDétails:
Stefan Esser a découvert une vulnérabilité dans PEAR XML-RPC. Celle-ci peut être exploitée par une personne malicieuse pour compromettre un système vulnérable.
Certaines balises XML qui sont contenues dans les documents analysés ne sont pas correctement filtrées avant d'être utilisées dans un appel à la fonction "eval()". Ceci peut être exploité pour exécuter du code PHP arbitraire sur un système vulnérable.
La vulnérabilité a été confirmée dans les verisons 1.3.3 et antérieures.
Solution:
Mettre à jour à la version 1.4.0.
Références:
http://secunia.com/advisories/16429/
http://www.hardened-php.net/advisory_142005.66.html Avis original
En parler sur le forum...
S'inscrire à la liste de diffusion...
