Useita haavoittuvuuksia PHP-ohjelmointikielessä

PHP on laajasti web-ympäristössä käytössä oleva ohjelmointikieli. PHP-ohjelmointikielestä on löydetty useita haavoittuvuuksia.

Löydetyt haavoittuvuudet sijaitsevat useissa PHP-ohjelmointikielen funktioissa ja ne liittyvät esimerkiksi safe_mode -funktion ohittamiseen ja eri funktioille lähetettyjen parametrien puutteelliseen tarkistukseen. Osaa haavoittuvuuksista hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdetietojärjestelmässä omia komentojaan. Joitakin haavoittuvuuksia hyväksikäyttämällä hyökkääjän on mahdollista päästä käsiksi kohdepalvelimen tietoihin.

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
Lisätietoa +

Hyökkäystapa

  • Etäkäyttö
Lisätietoja hyökkäystavasta +

Hyväksikäyttö

  • Komentojen mielivaltainen suorittaminen
  • Luottamuksellisen tiedon hankkiminen
Lisätietoja hyväksikäytöstä +

Ratkaisu

  • Korjaava ohjelmistopäivitys
Lisätietoja ratkaisusta +

Haavoittuvat ohjelmistot:

  • PHP 4.3.10 aiemmat versiot

  • PHP 5.0.3 aiemmat versiot

Ratkaisu- ja rajoitusmahdollisuudet:

Päivitä haavoittuva tietojärjestelmä turvallisella ohjelmistoversiolla, joka on ladattavissa osoitteesta:

http://www.php.net/downloads.php

Lisätietoa:

http://www.hardened-php.net/advisories/012004.txt

http://www.securityfocus.com/archive/1/384663/2004-12-13/2004-12-19/0

http://www.php.net/

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1018

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1019

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1063

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1064

Päivityshistoria


Asiasanat: Tietoturva, Haavoittuvuudet


Google+ Print