Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:H/Au:N/C:N/I:P/A:N)
Производитель ПО
Наименование ПО
PHP
(4.0.0, 4.4.3, 5.0.0RC, 5.1.3)
Описание
Межсайтовое выполнение сценариев в phpinfo (info.c) в PHP позволяет злоумышленникам, действующим удаленно, внедрить произвольный веб-сценарий или HTML-код, используя длинные переменные типа массив, включая большое число измерений или длинные значения, что препятствует удалению HTML-тэгов.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.php.net/
http://www.php.net/
Ссылки
BUGTRAQ (20060408 phpinfo() Cross Site Scripting PHP 5.1.2 and 4.4.2): http://www.securityfocus.com/archive/1/archive/1/430449/100/0/threaded
MLIST ([php-cvs] 20060330 cvs: php-src /ext/standard info.c): http://marc.theaimsgroup.com/?l=php-cvs&m=114374620416389&w=2
http://cvs.php.net/viewcvs.cgi/php-src/ext/standard/info.c
http://cvs.php.net/viewcvs.cgi/php-src/ext/standard/info.c?r1=1.260&r2=1.261
BID (17362): http://www.securityfocus.com/bid/17362
FULLDISC (20060408 phpinfo() Cross Site Scripting PHP 5.1.2 and 4.4.2): http://lists.grok.org.uk/pipermail/full-disclosure/2006-April/044981.html
http://securityreason.com/achievement_securityalert/34
SECTRACK (1015879): http://securitytracker.com/id?1015879
FRSIRT (ADV-2006-1290): http://www.frsirt.com/english/advisories/2006/1290
REDHAT (RHSA-2006:0276): http://rhn.redhat.com/errata/RHSA-2006-0276.html
MANDRIVA (MDKSA-2006:074): http://frontal2.mandriva.com/security/advisories?name=MDKSA-2006:074
REDHAT (RHSA-2006:0501): http://www.redhat.com/support/errata/RHSA-2006-0501.html
SUSE (SUSE-SA:2006:024): http://www.novell.com/linux/security/advisories/05-05-2006.html
GENTOO (GLSA-200605-08): http://security.gentoo.org/glsa/glsa-200605-08.xml
http://support.avaya.com/elmodocs2/security/ASA-2006-129.htm
FRSIRT (ADV-2006-2685): http://www.frsirt.com/english/advisories/2006/2685
UBUNTU (USN-320-1): http://www.ubuntu.com/usn/usn-320-1
http://www.php.net/ChangeLog-4.php#4.4.3
OSVDB (24484): http://www.osvdb.org/24484
XF (php-phpinfo-long-array-xss(25702)): http://xforce.iss.net/xforce/xfdb/25702
http://support.avaya.com/elmodocs2/security/ASA-2006-160.htm
REDHAT (RHSA-2006:0549): http://rhn.redhat.com/errata/RHSA-2006-0549.html
SGI (20060501-01-U): ftp://patches.sgi.com/support/free/security/advisories/20060501-01-U.asc
MLIST ([php-cvs] 20060330 cvs: php-src /ext/standard info.c): http://marc.theaimsgroup.com/?l=php-cvs&m=114374620416389&w=2
http://cvs.php.net/viewcvs.cgi/php-src/ext/standard/info.c
http://cvs.php.net/viewcvs.cgi/php-src/ext/standard/info.c?r1=1.260&r2=1.261
BID (17362): http://www.securityfocus.com/bid/17362
FULLDISC (20060408 phpinfo() Cross Site Scripting PHP 5.1.2 and 4.4.2): http://lists.grok.org.uk/pipermail/full-disclosure/2006-April/044981.html
http://securityreason.com/achievement_securityalert/34
SECTRACK (1015879): http://securitytracker.com/id?1015879
FRSIRT (ADV-2006-1290): http://www.frsirt.com/english/advisories/2006/1290
REDHAT (RHSA-2006:0276): http://rhn.redhat.com/errata/RHSA-2006-0276.html
MANDRIVA (MDKSA-2006:074): http://frontal2.mandriva.com/security/advisories?name=MDKSA-2006:074
REDHAT (RHSA-2006:0501): http://www.redhat.com/support/errata/RHSA-2006-0501.html
SUSE (SUSE-SA:2006:024): http://www.novell.com/linux/security/advisories/05-05-2006.html
GENTOO (GLSA-200605-08): http://security.gentoo.org/glsa/glsa-200605-08.xml
http://support.avaya.com/elmodocs2/security/ASA-2006-129.htm
FRSIRT (ADV-2006-2685): http://www.frsirt.com/english/advisories/2006/2685
UBUNTU (USN-320-1): http://www.ubuntu.com/usn/usn-320-1
http://www.php.net/ChangeLog-4.php#4.4.3
OSVDB (24484): http://www.osvdb.org/24484
XF (php-phpinfo-long-array-xss(25702)): http://xforce.iss.net/xforce/xfdb/25702
http://support.avaya.com/elmodocs2/security/ASA-2006-160.htm
REDHAT (RHSA-2006:0549): http://rhn.redhat.com/errata/RHSA-2006-0549.html
SGI (20060501-01-U): ftp://patches.sgi.com/support/free/security/advisories/20060501-01-U.asc
