IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Langage PHP Discussion :

PHP 5.4.3 et PHP 5.3.13 corrigent une faille critique activement exploitée dans CGI


Sujet :

Langage PHP

  1. #1
    Responsable .NET

    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    Janvier 2007
    Messages
    4 570
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2007
    Messages : 4 570
    Points : 252 372
    Points
    252 372
    Billets dans le blog
    121
    Par défaut PHP 5.4.3 et PHP 5.3.13 corrigent une faille critique activement exploitée dans CGI
    PHP 5.4.3 et PHP 5.3.13 corrigent une faille critique activement exploitée dans CGI
    la mise à jour fortement conseillée

    L’équipe de PHP vient de publier les mises à jour PHP 5.4.3 et PHP 5.3.13 qui corrigent une faille de sécurité critique dans le langage, activement exploitée.

    La vulnérabilité CVE-2012-1823 située dans php-cgi change l’interprétation de la chaine de caractères contenant "–", pour que le composant php-cgi puisse gérer des lignes de commandes comme -s, -d, -c.

    La faille peut-être exploitée pour retourner le code source d’une page si la chaine –s est passée comme paramètre dans une URL. Elle peut également permettre à un pirate distant de prendre le contrôle d’un serveur.

    Le bug avait été découvert par un groupe d’experts en sécurité néerlandais en janvier. Les développeurs de PHP avaient libéré un correctif d’urgence (PHP 5.3.12 et PHP 5.4.2) qui s'est avéré inefficace et facilement contournable.

    Par ailleurs, la faille est restée confidentielle jusqu’à sa divulgation accidentelle la semaine dernière, avec tous les détails la concernant.

    L’équipe PHP encourage donc fortement les utilisateurs à mettre à jour leurs versions vers les plus récentes ou, à défaut, modifier leur configuration pour utiliser FastCGI ou le module PHP sous Apache.

    Télécharger PHP 5.3.13 et PHP 5.4.3

    Source : PHP
    Vous souhaitez participer aux rubriques .NET ? Contactez-moi

    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog, Mes articles, Me suivre sur Twitter
    En posant correctement votre problème, on trouve la moitié de la solution

  2. #2
    Membre expérimenté
    Homme Profil pro
    Développeur Web
    Inscrit en
    Juillet 2009
    Messages
    420
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Juillet 2009
    Messages : 420
    Points : 1 471
    Points
    1 471
    Par défaut
    Citation Envoyé par Hinault Romaric Voir le message
    La faille peut-être exploitée pour retourner le code source d’une page si la chaine –s est passée comme paramètre dans une URL.
    Y'en a qui ont du avoir une attaque en voyant leurs identifiants/mpd de SGBD s'afficher en clair.

  3. #3
    Membre éprouvé Avatar de jmnicolas
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Juin 2007
    Messages
    427
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 45
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Transports

    Informations forums :
    Inscription : Juin 2007
    Messages : 427
    Points : 976
    Points
    976
    Par défaut
    Citation Envoyé par Hinault Romaric Voir le message
    [B][SIZE="4"]Les développeurs de PHP avaient libéré un correctif d’urgence (PHP 5.3.12 et PHP 5.4.2) qui s'est avéré inefficace et facilement contournable.
    Peut on savoir quelles étaient les revendications des ravisseurs ?

    (désolé, pas pu m'empêcher ====>[] )
    The greatest shortcoming of the human race is our inability to understand the exponential function. Albert A. Bartlett

    La plus grande lacune de la race humaine c'est notre incapacité à comprendre la fonction exponentielle.

Discussions similaires

  1. Réponses: 2
    Dernier message: 29/10/2005, 18h15
  2. [PHP-JS] lien javascript vers php
    Par guttts dans le forum Général JavaScript
    Réponses: 1
    Dernier message: 20/08/2005, 00h00
  3. [PHP-JS] Problème de variable PHP dans un script JS
    Par soad029 dans le forum Général JavaScript
    Réponses: 2
    Dernier message: 08/08/2005, 23h17
  4. [PHP-JS] passage de variable php a javascript
    Par limpins dans le forum Général JavaScript
    Réponses: 1
    Dernier message: 05/07/2005, 12h54
  5. [PHP-JS] pb lecture script php dans une fonction au démarrage
    Par jerome38000 dans le forum Général JavaScript
    Réponses: 4
    Dernier message: 09/02/2005, 16h07

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo