La version finale de PHP 5.2.0
Du coté PHP
|
|
La version finale de PHP 5.2.0
Stefan Esser a dévoilé la version finale de PHP 5.2.0. Cette nouvelle version contient les manières de réparer de nombreux bugs. Certaines de ces réparations s’adressent à plusieurs vulnérabilités de sécurité. Elle contient également une réparation du dépassement d’intégrale dans unserialize(). Elle contient aussi une réparation de dernière minute pour une sérieuse vulnérabilité découverte deux jours plus tôt, Stefan écrit :
Le HTML Entity Encoder de PHP qui est exposé au userinput par les fonctions htmlentities() et htmlspecialchars() contient un dépassement au niveau du buffer UTF – 8 character handling. Ceci peut être exploité pour exécuter du code arbitraire. Un conseil avec des informations plus détaillées est publié ici, nous explique Stefan.
Ceci prouve encore qu’il est avantageux d’utiliser le Patch-Suhosin, car il ajoute protection canary et safeunlink au Manager de Mémoire Zend, ce qui rend la vulnérabilité beaucoup plus dure et dans de nombreux cas impossible à exploiter, dit Stefan
Extrait :
[...]
Le HTML Entity Encoder de PHP qui est exposé à userinput par les fonctions htmlentities() et htmlspecialchars() contient un dépassement de buffer en UTF – 8 character handling. Ceci peut être exploité pour exécuter du code arbitraire. Quelle ironie que des fonctions qui sont supposées protéger des vulnérabilités XSS créent dans vos applications encore plus de trous sérieux d’exécution de code[...]
Texte original (PHP HTML Entity Encoder Heap Overflow Vulnerability)
Le HTML Entity Encoder de PHP qui est exposé au userinput par les fonctions htmlentities() et htmlspecialchars() contient un dépassement au niveau du buffer UTF – 8 character handling. Ceci peut être exploité pour exécuter du code arbitraire. Un conseil avec des informations plus détaillées est publié ici, nous explique Stefan.
Ceci prouve encore qu’il est avantageux d’utiliser le Patch-Suhosin, car il ajoute protection canary et safeunlink au Manager de Mémoire Zend, ce qui rend la vulnérabilité beaucoup plus dure et dans de nombreux cas impossible à exploiter, dit Stefan
Extrait :
[...]
Le HTML Entity Encoder de PHP qui est exposé à userinput par les fonctions htmlentities() et htmlspecialchars() contient un dépassement de buffer en UTF – 8 character handling. Ceci peut être exploité pour exécuter du code arbitraire. Quelle ironie que des fonctions qui sont supposées protéger des vulnérabilités XSS créent dans vos applications encore plus de trous sérieux d’exécution de code[...]
Texte original (PHP HTML Entity Encoder Heap Overflow Vulnerability)
Ajouter un commentaire
Quelques articles qui devraient vous intéresser
Connexion
Les derniers!
