GLSA 200608-28: PHP: Arbitary code execution
| Опасность: | средняя |
| Заголовок: | PHP: Arbitary code execution |
| Дата: | 29.08.2006 |
| Ошибки: | |
| ID: | 200608-28 |
Сводка
PHP contains a function that, when used, could allow a remote attacker to execute arbitrary code.Назначение
PHP is a widely-used general-purpose scripting language that is especially suited for Web development and can be embedded into HTML.
Уязвимые пакеты
| Пакет | Уязвимый | Нетронутый | Архитектура(ы) |
|---|---|---|---|
| dev-lang/php | < 5.1.4-r6 | >= 4.4.3-r1 | All supported architectures |
Описание
The sscanf() PHP function contains an array boundary error that can be exploited to dereference a null pointer. This can possibly allow the bypass of the safe mode protection by executing arbitrary code.
Воздействие
A remote attacker might be able to exploit this vulnerability in PHP applications making use of the sscanf() function, potentially resulting in the execution of arbitrary code or the execution of scripted contents in the context of the affected site.
Обход
There is no known workaround at this time.
Решение
All PHP 4.x users should upgrade to the latest version:
# emerge --sync
# emerge --ask --oneshot --verbose ">=dev-lang/php-4.4.3-r1"
All PHP 5.x users should upgrade to the latest version:
# emerge --sync
# emerge --ask --oneshot --verbose ">=dev-lang/php-5.1.4-r6"
Ссылки
Наличие
Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security:
Опасения?
Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.
Лицензия
Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.