Assaillis de failles chez Microsoft, on en viendrait presque à oublier que les Logiciels Libres peuvent, eux aussi, être victimes des mêmes problèmes. C’est ce que nous rappelle la société allemande e-matters avec cette alerte majeure. Elle vient de découvrir huit failles de sécurité dans le module d’upload (téléchargement vers le serveur) des fichiers pour PHP. On y retrouve les habituels dépassement de mémoire tampon, déclinés à toutes les sauces. Les failles touchent toutes les versions de PHP depuis la 3.0.10 jusqu’à la 4.1.1. La plupart des failles ne sont exploitables que sous Solaris et Linux, mais certaines touchent n’importe quel système d’exploitation sur un serveur x86.La version en cours de développement (4.2) n’est pas concernée, son module d’upload ayant été entièrement réécrit. La tradition du monde Open Source faisant que les versions de développement sont accessibles à tous, il est dors et déjà possible de l’installer, même si ce n’est pas vraiment conseillé en environnement de production. Pour ceux qui préfèrent attendre, un correctif est disponible. Il est aussi possible de simplement désactiver la fonction d’upload dans le fichier de configuration php.ini.Plus d’info : l’alerte de e-matters.La même chez ISS .Le correctif et une version mise à jour de PHP.