Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
PHP
(5.1.0, 5.1.2)
Описание
Уязвимость форматной строки в функции, возвращающей сообщения об ошибке, в расширении mysqli в PHP может позволить злоумышленникам, действующим удаленно, выполнить произвольный код, используя описатели форматной строки в сообщениях об ошибках MySQL.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.php.net/
http://www.php.net/
Ссылки
BUGTRAQ (20060112 Advisory 02/2006: PHP ext/mysqli Format String Vulnerability): http://www.securityfocus.com/archive/1/archive/1/421705/100/0/threaded
http://www.hardened-php.net/advisory_022006.113.html
http://www.php.net/release_5_1_2.php
BID (16219): http://www.securityfocus.com/bid/16219
FRSIRT (ADV-2006-0177): http://www.frsirt.com/english/advisories/2006/0177
XF (php-extmysqli-format-string(24095)): http://xforce.iss.net/xforce/xfdb/24095
SECTRACK (1015485): http://securitytracker.com/id?1015485
FRSIRT (ADV-2006-0369): http://www.frsirt.com/english/advisories/2006/0369
http://www.hardened-php.net/advisory_022006.113.html
http://www.php.net/release_5_1_2.php
BID (16219): http://www.securityfocus.com/bid/16219
FRSIRT (ADV-2006-0177): http://www.frsirt.com/english/advisories/2006/0177
XF (php-extmysqli-format-string(24095)): http://xforce.iss.net/xforce/xfdb/24095
SECTRACK (1015485): http://securitytracker.com/id?1015485
FRSIRT (ADV-2006-0369): http://www.frsirt.com/english/advisories/2006/0369