Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:H/Au:N/C:N/I:P/A:N)
Производитель ПО
Наименование ПО
PHP
(3.0.0, 4.4.8, 5.0.0RC, 5.1.2)
Описание
Межсайтовое выполнение сценариев в PHP, когда включены display_errors и html_errors, позволяет злоумышленникам, действующим удаленно, внедрить произвольный сценарий или HTML-код, используя входные данные в PHP-приложениях, которые не фильтруются при включении в конечное сообщение об ошибке.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.php.net/
http://www.php.net/
Ссылки
http://www.php.net/release_5_1_2.php
FRSIRT (ADV-2006-0177): http://www.frsirt.com/english/advisories/2006/0177
https://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=178028
MANDRIVA (MDKSA-2006:028): http://frontal2.mandriva.com/security/advisories?name=MDKSA-2006:028
FRSIRT (ADV-2006-0369): http://www.frsirt.com/english/advisories/2006/0369
BID (16803): http://www.securityfocus.com/bid/16803
UBUNTU (USN-261-1): http://www.ubuntulinux.org/support/documentation/usn/usn-261-1
GENTOO (GLSA-200603-22): http://www.gentoo.org/security/en/glsa/glsa-200603-22.xml
SUSE (SUSE-SR:2006:004): http://lists.suse.de/archive/suse-security-announce/2006-Feb/0008.html
REDHAT (RHSA-2006:0276): http://rhn.redhat.com/errata/RHSA-2006-0276.html
REDHAT (RHSA-2006:0501): http://www.redhat.com/support/errata/RHSA-2006-0501.html
http://support.avaya.com/elmodocs2/security/ASA-2006-129.htm
FRSIRT (ADV-2006-2685): http://www.frsirt.com/english/advisories/2006/2685
http://support.avaya.com/elmodocs2/security/ASA-2006-160.htm
REDHAT (RHSA-2006:0549): http://rhn.redhat.com/errata/RHSA-2006-0549.html
SGI (20060501-01-U): ftp://patches.sgi.com/support/free/security/advisories/20060501-01-U.asc
FRSIRT (ADV-2006-0177): http://www.frsirt.com/english/advisories/2006/0177
https://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=178028
MANDRIVA (MDKSA-2006:028): http://frontal2.mandriva.com/security/advisories?name=MDKSA-2006:028
FRSIRT (ADV-2006-0369): http://www.frsirt.com/english/advisories/2006/0369
BID (16803): http://www.securityfocus.com/bid/16803
UBUNTU (USN-261-1): http://www.ubuntulinux.org/support/documentation/usn/usn-261-1
GENTOO (GLSA-200603-22): http://www.gentoo.org/security/en/glsa/glsa-200603-22.xml
SUSE (SUSE-SR:2006:004): http://lists.suse.de/archive/suse-security-announce/2006-Feb/0008.html
REDHAT (RHSA-2006:0276): http://rhn.redhat.com/errata/RHSA-2006-0276.html
REDHAT (RHSA-2006:0501): http://www.redhat.com/support/errata/RHSA-2006-0501.html
http://support.avaya.com/elmodocs2/security/ASA-2006-129.htm
FRSIRT (ADV-2006-2685): http://www.frsirt.com/english/advisories/2006/2685
http://support.avaya.com/elmodocs2/security/ASA-2006-160.htm
REDHAT (RHSA-2006:0549): http://rhn.redhat.com/errata/RHSA-2006-0549.html
SGI (20060501-01-U): ftp://patches.sgi.com/support/free/security/advisories/20060501-01-U.asc