Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:N/I:P/A:N)
Производитель ПО
Наименование ПО
PHP
(5.0.0RC, 5.1.0)
Описание
Внедрение символов CRLF в функции mb_send_mail в PHP может позволить злоумышленникам, действующим удаленно, внедрить произвольные заголовки электронных писем, используя перевод строки (LF) в аргументе адреса "To".
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.php.net/
http://www.php.net/
Ссылки
http://www.php.net/release_5_1_0.php
http://bugs.php.net/bug.php?id=35307
BID (15571): http://www.securityfocus.com/bid/15571
SECTRACK (1015296): http://securitytracker.com/id?1015296
SUSE (SUSE-SA:2005:069): http://www.securityfocus.com/archive/1/archive/1/419504/100/0/threaded
XF (php-mbsendmail-header-injection(23270)): http://xforce.iss.net/xforce/xfdb/23270
MANDRIVA (MDKSA-2005:238): http://frontal2.mandriva.com/security/advisories?name=MDKSA-2005:238
UBUNTU (USN-232-1): http://www.ubuntulinux.org/usn/usn-232-1/document_view
REDHAT (RHSA-2006:0276): http://rhn.redhat.com/errata/RHSA-2006-0276.html
http://support.avaya.com/elmodocs2/security/ASA-2006-129.htm
FRSIRT (ADV-2006-2685): http://www.frsirt.com/english/advisories/2006/2685
SGI (20060501-01-U): ftp://patches.sgi.com/support/free/security/advisories/20060501-01-U.asc
TURBO (TLSA-2006-38): http://www.turbolinux.com/security/2006/TLSA-2006-38.txt
http://bugs.php.net/bug.php?id=35307
BID (15571): http://www.securityfocus.com/bid/15571
SECTRACK (1015296): http://securitytracker.com/id?1015296
SUSE (SUSE-SA:2005:069): http://www.securityfocus.com/archive/1/archive/1/419504/100/0/threaded
XF (php-mbsendmail-header-injection(23270)): http://xforce.iss.net/xforce/xfdb/23270
MANDRIVA (MDKSA-2005:238): http://frontal2.mandriva.com/security/advisories?name=MDKSA-2005:238
UBUNTU (USN-232-1): http://www.ubuntulinux.org/usn/usn-232-1/document_view
REDHAT (RHSA-2006:0276): http://rhn.redhat.com/errata/RHSA-2006-0276.html
http://support.avaya.com/elmodocs2/security/ASA-2006-129.htm
FRSIRT (ADV-2006-2685): http://www.frsirt.com/english/advisories/2006/2685
SGI (20060501-01-U): ftp://patches.sgi.com/support/free/security/advisories/20060501-01-U.asc
TURBO (TLSA-2006-38): http://www.turbolinux.com/security/2006/TLSA-2006-38.txt