• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Бюллетень безопасности RHSA-2011:0195-01

Главная Специалистам База уязвимостей Бюллетень безопасности RHSA-2011:0195-01

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
php (any) php-bcmath (any) php-cli (any) php-common (any) php-dba (any) php-devel (any) php-embedded (any) php-enchant (any) php-gd (any) php-imap (any) php-intl (any) php-ldap (any) php-mbstring (any) php-mysql (any) php-odbc (any) php-pdo (any) php-pgsql (any) php-process (any) php-pspell (any) php-recode (any) php-snmp (any) php-soap (any) php-tidy (any) php-xml (any) php-xmlrpc (any) php-zts (any)
Описание
PHP- это язык программирования, включающий HTML-разметку, который обычно используется с веб-сервером Apache HTTP Web server.
Ошибка обнаружена в PHP при конвертации некоторых значений с плавающей точкой из строки в число. Если PHP определяет входные данных как числовые, то интерпретатор PHP использует слишком много ресурсов процессора, пока не будет достигнут предел времени выполнения сценариев. Данная уязвимость влияет только на системы i386. (CVE-2010-4645)
Ошибка, связанная с проверкой входных данных, обнаружена в PHP в функции utf8_decode() при декодировании частичных многобайтовых последовательностей для некоторого многобайтового шифрования. Злоумышленник может использовать данную уязвимость, чтобы провести межсайтовое выполнение сценариев. (CVE-2009-5016, CVE-2010-3870)
Ошибка, связанная с разыменованием нулевого указателя, обнаружена в функции PHP
ZipArchive::getArchiveComment. Если сценарий, использующий эту функцию, проверяет специально сформированный файл ZIP-архива, то данная уязвимость может вызвать аварийное завершение работы PHP. (CVE-2010-3709)
Всем пользователям php рекомендуется обновить программное обеспечение, чтобы решить указанную проблему. После установки пакета обновлений необходимо перезапустить демон httpd, чтобы изменения вступили в силу.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
https://rhn.redhat.com/errata/RHSA-2011-0195.html
Ссылки
https://rhn.redhat.com/errata/RHSA-2011-0195.html
CVE (CVE-2009-5016): https://www.redhat.com/security/data/cve/CVE-2009-5016.html
CVE (CVE-2010-3709): https://www.redhat.com/security/data/cve/CVE-2010-3709.html
CVE (CVE-2010-3870): https://www.redhat.com/security/data/cve/CVE-2010-3870.html
CVE (CVE-2010-4645): https://www.redhat.com/security/data/cve/CVE-2010-4645.html
BUGZILLA (649056): http://bugzilla.redhat.com/649056
BUGZILLA (651206): http://bugzilla.redhat.com/651206
BUGZILLA (652836): http://bugzilla.redhat.com/652836
BUGZILLA (667806): http://bugzilla.redhat.com/667806

Источник: CVE
Наименование: CVE-2009-5016
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-5016

Источник: CVE
Наименование: CVE-2010-3709
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3709

Источник: CVE
Наименование: CVE-2010-3870
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3870

Источник: CVE
Наименование: CVE-2010-4645
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4645