Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:C/I:C/A:C)
Производитель ПО
Наименование ПО
Описание
Код десериализации в PHP позволяет злоумышленникам, действующим удаленно, вызвать отказ в обслуживании и выполнить произвольный код, используя непроверенные данные в функции unserialize, что может привести к «разглашению информации, ошибке «двойное освобождение» и потере значимости при обработке массива индексов с отрицательными данными».
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.php.net/
http://www.php.net/
Ссылки
Security Focus (PHP Multiple Local And Remote Vulnerabilities): http://www.securityfocus.com/bid/11964
RedHat (Updated php packages fix security issues and bugs): http://www.redhat.com/support/errata/RHSA-2004-687.html
MISC (http://www.hardened-php.net/advisories/012004.txt): http://www.hardened-php.net/advisories/012004.txt
CONFIRM (http://www.php.net/release_4_3_10.php): http://www.php.net/release_4_3_10.php
BUGTRAQ (20041216 [OpenPKG-SA-2004.053] OpenPKG Security Advisory (php)): http://msgs.securepoint.com/cgi-bin/get/bugtraq0412/157.html
FEDORA (FLSA:2344): https://bugzilla.fedora.us/show_bug.cgi?id=2344
MANDRAKE (MDKSA-2004:151): http://www.mandrakesoft.com/security/advisories?name=MDKSA-2004:151
REDHAT (RHSA-2005:032): http://www.redhat.com/support/errata/RHSA-2005-032.html
SUSE (SUSE-SA:2005:002): http://www.novell.com/linux/security/advisories/2005_02_php4_mod_php4.html
XF (php-unserialize-code-execution(18514)): http://xforce.iss.net/xforce/xfdb/18514
HP (HPSBMA01212): http://www.securityfocus.com/advisories/9028
BUGTRAQ (20041215 Advisory 01/2004: Multiple vulnerabilities in PHP 4/5): http://marc.theaimsgroup.com/?l=bugtraq&m=110314318531298&w=2
REDHAT (RHSA-2005:816): http://www.redhat.com/support/errata/RHSA-2005-816.html
RedHat (Updated php packages fix security issues and bugs): http://www.redhat.com/support/errata/RHSA-2004-687.html
MISC (http://www.hardened-php.net/advisories/012004.txt): http://www.hardened-php.net/advisories/012004.txt
CONFIRM (http://www.php.net/release_4_3_10.php): http://www.php.net/release_4_3_10.php
BUGTRAQ (20041216 [OpenPKG-SA-2004.053] OpenPKG Security Advisory (php)): http://msgs.securepoint.com/cgi-bin/get/bugtraq0412/157.html
FEDORA (FLSA:2344): https://bugzilla.fedora.us/show_bug.cgi?id=2344
MANDRAKE (MDKSA-2004:151): http://www.mandrakesoft.com/security/advisories?name=MDKSA-2004:151
REDHAT (RHSA-2005:032): http://www.redhat.com/support/errata/RHSA-2005-032.html
SUSE (SUSE-SA:2005:002): http://www.novell.com/linux/security/advisories/2005_02_php4_mod_php4.html
XF (php-unserialize-code-execution(18514)): http://xforce.iss.net/xforce/xfdb/18514
HP (HPSBMA01212): http://www.securityfocus.com/advisories/9028
BUGTRAQ (20041215 Advisory 01/2004: Multiple vulnerabilities in PHP 4/5): http://marc.theaimsgroup.com/?l=bugtraq&m=110314318531298&w=2
REDHAT (RHSA-2005:816): http://www.redhat.com/support/errata/RHSA-2005-816.html