Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
PHP
(5.2.0, 5.2.1)
Описание
Уязвимость в расширении session в PHP позволяет злоумышленникам выполнить произвольный код, используя неверные символы в идентификаторе сессии. Внутренний модуль хранения сессии отклоняет такие идентификаторы, из-за этого вызов генератора идентификатора сессии происходит в некорректной среде, что позволяет злоумышленникам выполнить код, когда работа генератора прерывается, как показано на примере нарушения лимита памяти или определенных ошибок PHP.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.php.net/
http://www.php.net/
Ссылки
http://www.php-security.org/MOPB/MOPB-23-2007.html
FRSIRT (ADV-2007-0960): http://www.frsirt.com/english/advisories/2007/0960
FRSIRT (ADV-2007-0960): http://www.frsirt.com/english/advisories/2007/0960
