1 Risque

* Déni de service à distance ;
* contournement de la politique de sécurité.

2 Systèmes affectés

PHP versions 4.4.7 et antérieures.

3 Résumé

De multiples vulnérabilités présentes dans PHP 4 permettent à un utilisateur
distant de contourner la politique de sécurité ou de provoquer un déni de
service.

4 Description

De multiples vulnérabilités ont été identifiées dans la branche 4 de PHP :

* plusieurs d’entre elles de type débordement de mémoire permettent à un
utilisateur distant de provoquer un déni de service ;
* d’autres encore permettent à un utilisateur distant de contourner les
restrictions mises en place lors de l’installation et la configuration de
PHP.

5 Solution

La version 4.4.8 de PHP corrige le problème. Cependant, dans la mesure où la
branche 4 de PHP est en fin de vie, il est recommandé de migrer vers la
dernière version de la branche 5 : la 5.2.5 au moment de la rédaction du
présent document.

http://www.php.net/downloads.php

6 Documentation

* Site de PHP :

http://www.php.net

* Liste des changements apportés à la version 4.4.8 de PHP :

http://www.php.net/releases/4_4_8.php

* Référence CVE CVE-2007-3378 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3378