Deux fonctions vulnérables dans PHP Aurélien Cabezon le 7 juin 2004 à 13h00, dans la rubrique Menaces Commentaires fermés sur Deux fonctions vulnérables dans PHP faille PHP est un langage non compilé qui permet de développer des applications et sites internet dynamiques. Prés de 70% des sites et portails francophones sont développés avec cette technologie. aujourd’hui, une vulnérabilité jugée critique touchant deux fonctions de PHP a été découverte. Le problème de sécurité a été découverte dans les fonction escapeshellarg() et escapeshellcmd() de PHP. Comble de l’ironie, ces deux fonctions ont pour rôle de filtrer et sécuriser les appels à exécution de commande par PHP avec les fonctions exec() et system(). Cette faille pourrait permettre de contourner les restrictions imposées par escapeshellarg() et escapeshellcmd() et ainsi exécuter une commande arbitraire sur le serveur distant avec les droit associés au daemon Apache ou Php lorsqu’il est utilisé avec SuExec. Bien évidement, cette faille n ‘affecte que les scripts qui utilisent ces deux fonctions. Généralement ce sont les scripts PHP qui font appel à des commandes externes comme Whois, Nslookup, Ping, etc. La solution est de mettre à jour votre version de PHP avec la version 4.3.7 Vous avez aimé cet article? Cliquez sur le bouton J'AIME ou partagez le avec vos amis! Notez L'article Participez ou lancez la discussion!