Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:N/I:P/A:N)
Производитель ПО
Наименование ПО
PHP
(5.0.0RC, 5.1.2)
Описание
Уязвимость, связанная с расщеплением HTTP-запроса в PHP, позволяет злоумышленникам, действующим удаленно, внедрять произвольные HTTP-заголовки, используя специально сформированный Set-Cookie-заголовок, связанный с расширением сессии (также называемый ext/session) и функцией header.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.php.net/
http://www.php.net/
Ссылки
http://www.php.net/release_5_1_2.php
FRSIRT (ADV-2006-0177): http://www.frsirt.com/english/advisories/2006/0177
http://www.hardened-php.net/advisory_012006.112.html
BID (16220): http://www.securityfocus.com/bid/16220
XF (php-session-response-splitting(24094)): http://xforce.iss.net/xforce/xfdb/24094
SECTRACK (1015484): http://securitytracker.com/id?1015484
MANDRIVA (MDKSA-2006:028): http://frontal2.mandriva.com/security/advisories?name=MDKSA-2006:028
FRSIRT (ADV-2006-0369): http://www.frsirt.com/english/advisories/2006/0369
UBUNTU (USN-261-1): http://www.ubuntulinux.org/support/documentation/usn/usn-261-1
GENTOO (GLSA-200603-22): http://www.gentoo.org/security/en/glsa/glsa-200603-22.xml
SUSE (SUSE-SR:2006:004): http://lists.suse.de/archive/suse-security-announce/2006-Feb/0008.html
FRSIRT (ADV-2006-0177): http://www.frsirt.com/english/advisories/2006/0177
http://www.hardened-php.net/advisory_012006.112.html
BID (16220): http://www.securityfocus.com/bid/16220
XF (php-session-response-splitting(24094)): http://xforce.iss.net/xforce/xfdb/24094
SECTRACK (1015484): http://securitytracker.com/id?1015484
MANDRIVA (MDKSA-2006:028): http://frontal2.mandriva.com/security/advisories?name=MDKSA-2006:028
FRSIRT (ADV-2006-0369): http://www.frsirt.com/english/advisories/2006/0369
UBUNTU (USN-261-1): http://www.ubuntulinux.org/support/documentation/usn/usn-261-1
GENTOO (GLSA-200603-22): http://www.gentoo.org/security/en/glsa/glsa-200603-22.xml
SUSE (SUSE-SR:2006:004): http://lists.suse.de/archive/suse-security-announce/2006-Feb/0008.html