Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
PHP
(4.0.0, 4.4.4, 5.0.0RC, 5.1.5)
Описание
PHP содержит уязвимость, которая может позволить злоумышленникам, действующим локально, просматривать произвольные файлы и создавать или изменять существующие файлы, повысив свои привилегии до уровня привилегий веб-сервера. Уязвимость эксплуатируется, когда сценарий неправильно использует функцию imap_open(). Уязвимость может позволить читать произвольные файлы или создавать, переименовывать или удалять существующие файлы.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.php.net/
http://www.php.net/
Ссылки
BUGTRAQ (20060228 (PHP) imap functions bypass safemode and open_basedir restrictions): http://www.securityfocus.com/archive/1/archive/1/426339/100/0/threaded
FRSIRT (ADV-2006-0772): http://www.frsirt.com/english/advisories/2006/0772
XF (php-imap-restriction-bypass(24964)): http://xforce.iss.net/xforce/xfdb/24964
MANDRIVA (MDKSA-2006:122): http://frontal2.mandriva.com/security/advisories?name=MDKSA-2006:122
http://bugs.php.net/bug.php?id=37265
http://www.php.net/ChangeLog-5.php#5.1.5
http://www.php.net/release_5_1_5.php
OSVDB (23535): http://www.osvdb.org/23535
FRSIRT (ADV-2006-0772): http://www.frsirt.com/english/advisories/2006/0772
XF (php-imap-restriction-bypass(24964)): http://xforce.iss.net/xforce/xfdb/24964
MANDRIVA (MDKSA-2006:122): http://frontal2.mandriva.com/security/advisories?name=MDKSA-2006:122
http://bugs.php.net/bug.php?id=37265
http://www.php.net/ChangeLog-5.php#5.1.5
http://www.php.net/release_5_1_5.php
OSVDB (23535): http://www.osvdb.org/23535