Vigil@nce - PHP : cinq vulnérabilités
septembre 2015 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer plusieurs vulnérabilités de PHP.
Produits concernés : Debian, Fedora, openSUSE, pfSense, PHP,
Synology DS***, Synology RS***.
– Gravité : 2/4.
– Date création : 10/07/2015.
– Date révision : 10/07/2015.
DESCRIPTION DE LA VULNÉRABILITÉ
Plusieurs vulnérabilités ont été annoncées dans PHP.
Une vulnérabilité inconnue a été annoncée dans les fonctions
escapeshell*. Cela pourrait être lié à une correction
incomplète de CVE-2015-4642 dans VIGILANCE-VUL-17113. [grav:2/4 ;
69768]
Un attaquant peut provoquer un débordement de tampon dans
Phar::convertToDat, afin de mener un déni de service, et
éventuellement d’exécuter du code. [grav:2/4 ; 69958,
CVE-2015-5589]
Un attaquant peut provoquer un débordement de tampon dans
phar_fix_filepath, afin de mener un déni de service, et
éventuellement d’exécuter du code. [grav:2/4 ; 69923,
CVE-2015-5590]
Un attaquant peut provoquer l’utilisation d’une zone mémoire
libérée dans spl_recursive_it_move_forward_ex(), afin de mener
un déni de service, et éventuellement d’exécuter du code.
[grav:2/4 ; 69970]
Un attaquant peut provoquer l’utilisation d’une zone mémoire
libérée dans sqlite3SafetyCheckSickOrOk(), afin de mener un
déni de service, et éventuellement d’exécuter du code.
[grav:2/4 ; 69972]
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/PHP-cinq-vulnerabilites-17341