Failles de sécurité PHP

Le par  |  1 commentaire(s) Source : TechWorld.com

Plusieurs failles de sécurité touchant les serveurs PHP viennent d'être révélées.

Plusieurs failles de sécurité touchant les serveurs PHP viennent d'être révélées.

Certains serveurs PHP semblent vulnérables à de sérieux exploits de sécurité, pouvant parfois mener à des dénis-de-service ou à l'éxécution de codes malicieux, indique le PHP Group.

Le projet 'open-source' a déjà diffusé des mises à jour corrigeant certains de ces problèmes, et les utilisateurs sont "vivement encouragés" à les installer.

Plusieurs des failles en question ont été découvertes sur les serveurs employant le module EXIF (EXchangeable Image format File; fichier de format d'image interchangeable), associés parfois à l'utilisation d'une caméra digitale. Une faille dans la fonction 'exit_process_IFD_TAG()' du module pourrait être exploitée afin de provoquer une saturation de la mémoire-tampon et éxécuter un code malicieux avec les privilèges accordés au serveur, indique Mandriva, qui a proposé également une mise à jour ce lundi 18 avril.

A noter qu'un second blocage du module EXIF pourrait induire une récursion permanente, suivie éventuellement du crash du programme.

Une autre faille, dévoilée par iDefense, affecte les fonctions 'php_handle_iff()' et 'php_handle_jpeg()', et pourrait être exploitée par une image piégée pour causer des boucles sans fin qui consommeraient toutes les ressources CPU du système, aboutissant à un déni-de-service. La mise à jour fournie par le PHP Group (voir plus haut) règle cette faille.

La firme de sécurité Secunia avait d'abord jugé ces failles comme "non-critiques", avant de se raviser et de les classer parmi les failles "hautement critiques".

Debian, Gentoo et SuSE proposent aussi les mises à jour appropriées.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #41045
je veux bien que cette faille concerne le php spécialement, mais on ne parle pas des modules de php eux mêmes, ces petits programmes externes rajoutés pour inclure de nouvelles fonctions au php ' je ne connais pas ces modules, peut être qu'ils sont nécéssaires au fonctionnement de php, mais c'est un peu comme si on parlait d'une faille dans firefox, alors qu'en réalité ça serai un de ces plugins qui serait en cause.
bon et puis après tout ce n'est qu'une précision qui ne change rien, la faille est belle est bien présente (et ouf les patchs aussi ! )
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]