Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:N/I:C/A:N)
Производитель ПО
Описание
Внедрение символов CRLF в функции mail в PHP позволяет злоумышленникам, действующим удаленно, внедрять произвольные заголовки электронных писем и, возможно, проводить спам-атаки, если управляющий символ следует непосредственно за параметром Subject или To, как показано на примере параметра, содержащего последовательность "\r\n\t\n" (связано с ошибкой в макросе SKIP_LONG_HEADER_SEP).
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.php.net/
http://www.php.net/
Ссылки
http://www.php-security.org/MOPB/MOPB-34-2007.html
BID (23145): http://www.securityfocus.com/bid/23145
REDHAT (RHSA-2007:0155): http://rhn.redhat.com/errata/RHSA-2007-0155.html
REDHAT (RHSA-2007:0153): http://www.redhat.com/support/errata/RHSA-2007-0153.html
REDHAT (RHSA-2007:0162): http://www.redhat.com/support/errata/RHSA-2007-0162.html
SECTRACK (1017946): http://www.securitytracker.com/id?1017946
DEBIAN (DSA-1282): http://www.debian.org/security/2007/dsa-1282
DEBIAN (DSA-1283): http://www.debian.org/security/2007/dsa-1283
UBUNTU (USN-455-1): http://www.ubuntu.com/usn/usn-455-1
http://us2.php.net/releases/5_2_2.php
MANDRIVA (MDKSA-2007:087): http://frontal2.mandriva.com/security/advisories?name=MDKSA-2007:087
MANDRIVA (MDKSA-2007:088): http://frontal2.mandriva.com/security/advisories?name=MDKSA-2007:088
MANDRIVA (MDKSA-2007:089): http://frontal2.mandriva.com/security/advisories?name=MDKSA-2007:089
BID (23145): http://www.securityfocus.com/bid/23145
REDHAT (RHSA-2007:0155): http://rhn.redhat.com/errata/RHSA-2007-0155.html
REDHAT (RHSA-2007:0153): http://www.redhat.com/support/errata/RHSA-2007-0153.html
REDHAT (RHSA-2007:0162): http://www.redhat.com/support/errata/RHSA-2007-0162.html
SECTRACK (1017946): http://www.securitytracker.com/id?1017946
DEBIAN (DSA-1282): http://www.debian.org/security/2007/dsa-1282
DEBIAN (DSA-1283): http://www.debian.org/security/2007/dsa-1283
UBUNTU (USN-455-1): http://www.ubuntu.com/usn/usn-455-1
http://us2.php.net/releases/5_2_2.php
MANDRIVA (MDKSA-2007:087): http://frontal2.mandriva.com/security/advisories?name=MDKSA-2007:087
MANDRIVA (MDKSA-2007:088): http://frontal2.mandriva.com/security/advisories?name=MDKSA-2007:088
MANDRIVA (MDKSA-2007:089): http://frontal2.mandriva.com/security/advisories?name=MDKSA-2007:089
