Vigil@nce - PHP 7 : corruption de mémoire via openssl_seal
avril 2016 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut provoquer une corruption de mémoire dans
openssl_seal() de PHP 7, afin de mener un déni de service, et
éventuellement d’exécuter du code.
Produits concernés : PHP.
Gravité : 2/4.
Date création : 04/02/2016.
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit PHP 7 comprend des extensions permettant d’utiliser des
fonctions de OpenSSL.
Cependant, la fonction openssl_seal() peut être amenée à
utiliser une zone mémoire non initialisée qui est passée aux
fonctions de libération de OpenSSL.
Un attaquant peut donc provoquer une corruption de mémoire dans
openssl_seal() de PHP 7, afin de mener un déni de service, et
éventuellement d’exécuter du code.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
https://vigilance.fr/vulnerabilite/PHP-7-corruption-de-memoire-via-openssl-seal-18869