De graves failles découvertes dans PHP Jerome Saiz le 28 février 2002 à 20h20, dans la rubrique Menaces Commentaires fermés sur De graves failles découvertes dans PHP decouvertesfaillesgraves Une impressionnante série de failles de sécurité vient d’être découverte dans PHP 3 et 4. Toutes frappent le composant d’upload des fichiers sur le serveur. La version en développement (4.2) n’est pas touchée. Un correctif et une nouvelle version sont déjà disponibles. Il est aussi possible de désactiver la fonction incriminée. Assaillis de failles chez Microsoft, on en viendrait presque à oublier que les Logiciels Libres peuvent, eux aussi, être victimes des mêmes problèmes. C’est ce que nous rappelle la société allemande e-matters avec cette alerte majeure. Elle vient de découvrir huit failles de sécurité dans le module d’upload (téléchargement vers le serveur) des fichiers pour PHP. On y retrouve les habituels dépassement de mémoire tampon, déclinés à toutes les sauces. Les failles touchent toutes les versions de PHP depuis la 3.0.10 jusqu’à la 4.1.1. La plupart des failles ne sont exploitables que sous Solaris et Linux, mais certaines touchent n’importe quel système d’exploitation sur un serveur x86.La version en cours de développement (4.2) n’est pas concernée, son module d’upload ayant été entièrement réécrit. La tradition du monde Open Source faisant que les versions de développement sont accessibles à tous, il est dors et déjà possible de l’installer, même si ce n’est pas vraiment conseillé en environnement de production. Pour ceux qui préfèrent attendre, un correctif est disponible. Il est aussi possible de simplement désactiver la fonction d’upload dans le fichier de configuration php.ini.Plus d’info : l’alerte de e-matters.La même chez ISS .Le correctif et une version mise à jour de PHP. Vous avez aimé cet article? Cliquez sur le bouton J'AIME ou partagez le avec vos amis! Notez L'article Participez ou lancez la discussion!