Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
php
(any)
php-bcmath
(any)
php-cli
(any)
php-common
(any)
php-dba
(any)
php-devel
(any)
php-embedded
(any)
php-enchant
(any)
php-gd
(any)
php-imap
(any)
php-intl
(any)
php-ldap
(any)
php-mbstring
(any)
php-mysql
(any)
php-odbc
(any)
php-pdo
(any)
php-pgsql
(any)
php-process
(any)
php-pspell
(any)
php-recode
(any)
php-snmp
(any)
php-soap
(any)
php-tidy
(any)
php-xml
(any)
php-xmlrpc
(any)
php-zts
(any)
Описание
PHP- это язык программирования, включающий HTML-разметку, который обычно используется с веб-сервером Apache HTTP Web server.
Ошибка обнаружена в PHP при конвертации некоторых значений с плавающей точкой из строки в число. Если PHP определяет входные данных как числовые, то интерпретатор PHP использует слишком много ресурсов процессора, пока не будет достигнут предел времени выполнения сценариев. Данная уязвимость влияет только на системы i386. (CVE-2010-4645)
Ошибка, связанная с проверкой входных данных, обнаружена в PHP в функции utf8_decode() при декодировании частичных многобайтовых последовательностей для некоторого многобайтового шифрования. Злоумышленник может использовать данную уязвимость, чтобы провести межсайтовое выполнение сценариев. (CVE-2009-5016, CVE-2010-3870)
Ошибка, связанная с разыменованием нулевого указателя, обнаружена в функции PHP
ZipArchive::getArchiveComment. Если сценарий, использующий эту функцию, проверяет специально сформированный файл ZIP-архива, то данная уязвимость может вызвать аварийное завершение работы PHP. (CVE-2010-3709)
Всем пользователям php рекомендуется обновить программное обеспечение, чтобы решить указанную проблему. После установки пакета обновлений необходимо перезапустить демон httpd, чтобы изменения вступили в силу.
Ошибка обнаружена в PHP при конвертации некоторых значений с плавающей точкой из строки в число. Если PHP определяет входные данных как числовые, то интерпретатор PHP использует слишком много ресурсов процессора, пока не будет достигнут предел времени выполнения сценариев. Данная уязвимость влияет только на системы i386. (CVE-2010-4645)
Ошибка, связанная с проверкой входных данных, обнаружена в PHP в функции utf8_decode() при декодировании частичных многобайтовых последовательностей для некоторого многобайтового шифрования. Злоумышленник может использовать данную уязвимость, чтобы провести межсайтовое выполнение сценариев. (CVE-2009-5016, CVE-2010-3870)
Ошибка, связанная с разыменованием нулевого указателя, обнаружена в функции PHP
ZipArchive::getArchiveComment. Если сценарий, использующий эту функцию, проверяет специально сформированный файл ZIP-архива, то данная уязвимость может вызвать аварийное завершение работы PHP. (CVE-2010-3709)
Всем пользователям php рекомендуется обновить программное обеспечение, чтобы решить указанную проблему. После установки пакета обновлений необходимо перезапустить демон httpd, чтобы изменения вступили в силу.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
https://rhn.redhat.com/errata/RHSA-2011-0195.html
https://rhn.redhat.com/errata/RHSA-2011-0195.html
Ссылки
https://rhn.redhat.com/errata/RHSA-2011-0195.html
CVE (CVE-2009-5016): https://www.redhat.com/security/data/cve/CVE-2009-5016.html
CVE (CVE-2010-3709): https://www.redhat.com/security/data/cve/CVE-2010-3709.html
CVE (CVE-2010-3870): https://www.redhat.com/security/data/cve/CVE-2010-3870.html
CVE (CVE-2010-4645): https://www.redhat.com/security/data/cve/CVE-2010-4645.html
BUGZILLA (649056): http://bugzilla.redhat.com/649056
BUGZILLA (651206): http://bugzilla.redhat.com/651206
BUGZILLA (652836): http://bugzilla.redhat.com/652836
BUGZILLA (667806): http://bugzilla.redhat.com/667806
Источник: CVE
Наименование: CVE-2009-5016
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-5016
Источник: CVE
Наименование: CVE-2010-3709
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3709
Источник: CVE
Наименование: CVE-2010-3870
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3870
Источник: CVE
Наименование: CVE-2010-4645
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4645
CVE (CVE-2009-5016): https://www.redhat.com/security/data/cve/CVE-2009-5016.html
CVE (CVE-2010-3709): https://www.redhat.com/security/data/cve/CVE-2010-3709.html
CVE (CVE-2010-3870): https://www.redhat.com/security/data/cve/CVE-2010-3870.html
CVE (CVE-2010-4645): https://www.redhat.com/security/data/cve/CVE-2010-4645.html
BUGZILLA (649056): http://bugzilla.redhat.com/649056
BUGZILLA (651206): http://bugzilla.redhat.com/651206
BUGZILLA (652836): http://bugzilla.redhat.com/652836
BUGZILLA (667806): http://bugzilla.redhat.com/667806
Источник: CVE
Наименование: CVE-2009-5016
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-5016
Источник: CVE
Наименование: CVE-2010-3709
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3709
Источник: CVE
Наименование: CVE-2010-3870
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3870
Источник: CVE
Наименование: CVE-2010-4645
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4645