Alert GCSA-12009 - Vulnerabilita' in PHP 5.3.9
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
******************************************************************
Alert ID : GCSA-12009
Data : 07 febbraio 2012
Titolo : Vulnerabilita' in PHP 5.3.9
******************************************************************
:: Descrizione del problema
E' stata identificata una vulnerabilita' nel linguaggio PHP
sfruttando la quale un aggressore remoto potrebbe eseguire
codice arbitrario, inviando dati artefatti in modo da innescare
un errore di memoria, tramite la funzione php_register_variable_ex().
Questa vulnerabilita' e' dovuta al fix sviluppato per
risolvere il CVE-2011-4885.
:: Software interessato
PHP versione 5.3.9,
altre versioni potrebbero essere affette.
:: Impatto
Esecuzione remota di codice arbitrario
Denial of Service
:: Soluzioni
Aggiornare PHP alla versione 5.3.10
http://www.php.net/downloads.php
:: Riferimenti
PHP.NET
http://www.php.net/releases/5_3_10.php
http://www.php.net/archive/2012.php#id2012-02-02-1
http://www.php.net/ChangeLog-5.php#5.3.10
Mitre's CVE ID
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0830
SecurityFocus Bugtraq ID
http://www.securityfocus.com/bid/51830
SANS ISC Diary
http://isc.sans.edu/diary.html?storyid=12520
US DOE JC3-CIRC bulletin
http://www.doecirc.energy.gov/bulletins/u-097.shtml
RedHat
https://rhn.redhat.com/errata/RHSA-2012-0092.html
https://rhn.redhat.com/errata/RHSA-2012-0093.html
Debian
http://www.debian.org/security/2012/dsa-2403
SecurityTracker
http://www.securitytracker.com/id/1026631
thexploit security blog
http://thexploit.com/sec/critical-php-remote-vulnerability-introduced-in-fix-for-php-hashtable-collision-dos/
-----BEGIN PGP SIGNATURE-----
iQCVAwUBTzFQ2POB+SpikaiRAQIHTgP/STMOYclI8b8A73lVvXHVmQWiVimBLsZu
/aQKM1V4XeoqxwSGCr47iUUCFks/Gxh+dnYww+koXO/QORZ9P6o7xrtwYsj3b43J
FNKuGjvodmZwISURZcH7qw8ZBB1FctdaT968qMhv+a6A/OSujBbK64lToxmN9sYP
pPGMqmXPT/E=
=5t4r
-----END PGP SIGNATURE-----
Hash: SHA1
******************************************************************
Alert ID : GCSA-12009
Data : 07 febbraio 2012
Titolo : Vulnerabilita' in PHP 5.3.9
******************************************************************
:: Descrizione del problema
E' stata identificata una vulnerabilita' nel linguaggio PHP
sfruttando la quale un aggressore remoto potrebbe eseguire
codice arbitrario, inviando dati artefatti in modo da innescare
un errore di memoria, tramite la funzione php_register_variable_ex().
Questa vulnerabilita' e' dovuta al fix sviluppato per
risolvere il CVE-2011-4885.
:: Software interessato
PHP versione 5.3.9,
altre versioni potrebbero essere affette.
:: Impatto
Esecuzione remota di codice arbitrario
Denial of Service
:: Soluzioni
Aggiornare PHP alla versione 5.3.10
http://www.php.net/downloads.php
:: Riferimenti
PHP.NET
http://www.php.net/releases/5_3_10.php
http://www.php.net/archive/2012.php#id2012-02-02-1
http://www.php.net/ChangeLog-5.php#5.3.10
Mitre's CVE ID
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0830
SecurityFocus Bugtraq ID
http://www.securityfocus.com/bid/51830
SANS ISC Diary
http://isc.sans.edu/diary.html?storyid=12520
US DOE JC3-CIRC bulletin
http://www.doecirc.energy.gov/bulletins/u-097.shtml
RedHat
https://rhn.redhat.com/errata/RHSA-2012-0092.html
https://rhn.redhat.com/errata/RHSA-2012-0093.html
Debian
http://www.debian.org/security/2012/dsa-2403
SecurityTracker
http://www.securitytracker.com/id/1026631
thexploit security blog
http://thexploit.com/sec/critical-php-remote-vulnerability-introduced-in-fix-for-php-hashtable-collision-dos/
-----BEGIN PGP SIGNATURE-----
iQCVAwUBTzFQ2POB+SpikaiRAQIHTgP/STMOYclI8b8A73lVvXHVmQWiVimBLsZu
/aQKM1V4XeoqxwSGCr47iUUCFks/Gxh+dnYww+koXO/QORZ9P6o7xrtwYsj3b43J
FNKuGjvodmZwISURZcH7qw8ZBB1FctdaT968qMhv+a6A/OSujBbK64lToxmN9sYP
pPGMqmXPT/E=
=5t4r
-----END PGP SIGNATURE-----