Multiples vulnérabilités dans PHP
Date de publication :
Ubuntu a publié un bulletin annonçant la correction de plusieurs vulnérabilités PHP qui permettent une fuite d’informations sensibles ou un déni de service.
CVE-2019-11046 [Score CVSS v3 : 7.5] : Les fonctions de l'extension PHP bcmath, qui est disponible pour plusieurs systèmes d’exploitation dont Windows, peuvent être utilisées pour la lecture au-delà de l’espace mémoire alloué.
Un attaquant distant pourrait exploiter cette vulnérabilité en fournissant une chaine de caractère contenant des caractères qui sont identifiés comme numériques par le système d'exploitation mais qui ne sont pas des nombres ASCII.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risque
- Fuite d’informations sensibles.
- Déni de service.
Criticité
- Score CVSS v3 : 7.5 Max
Existence d’un code d‘exploitation
- Aucun code d’exploitation n’est disponible
Composants vulnérables
- Versions PHP 7.2.x inférieurs à 7.2.26
- Versions PHP 7.3.x inférieurs à 7.3.13
- Version PHP 7.4.0
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Ubuntu recommande la mise à jour vers les paquets suivants :
- Ubuntu 19.10
- Ubuntu 19.04
- Ubuntu 18.04 LTS
- Ubuntu 16.04 LTS
- Ubuntu 14.04 ESM
- libapache2-mod-php5 - 5.5.9+dfsg-1ubuntu4.29+esm8
- php5-cgi - 5.5.9+dfsg-1ubuntu4.29+esm8
- php5-cli - 5.5.9+dfsg-1ubuntu4.29+esm8
- php5-fpm - 5.5.9+dfsg-1ubuntu4.29+esm8
- php5-xmlrpc - 5.5.9+dfsg-1ubuntu4.29+esm8
- Ubuntu 12.04 ESM
- libapache2-mod-php5 - 5.3.10-1ubuntu3.42
- php5-cgi - 5.3.10-1ubuntu3.42
- php5-cli - 5.3.10-1ubuntu3.42
- php5-fpm - 5.3.10-1ubuntu3.42
- php5-xmlrpc - 5.3.10-1ubuntu3.42
Solution de contournement
- Aucune solution de contournement n’est disponible