Nous Contacter | English               

 


 

Veille en Vulnérabilités
 
  Bulletins de Vulnérabilités
  Bulletins Virus & Vers

  Actualités de la Sécurité
  Moniteur Zero-Day
  Moteur de Recherche
 
   

PHP "glob()" Function Arguments Processing Arbitrary Code Execution Vulnerability

Date de Publication : 2007-07-17 © VUPEN.COM
Titre : PHP "glob()" Function Arguments Processing Arbitrary Code Execution Vulnerability
Identifiant : VUPEN/AVIS-2007-2547
CVE ID : CVE-2007-3806
Risque : Modéré (2/4) -
Exploitable à distance : Oui
Exploitable en local : Oui
 

En savoir plus
 
  Description
  Produits affectés
  Solution
Description Technique    TXT (Plain Text)  PDF (Portable Document Format)  XML (Extensible Markup Language)  SMS (Short Message Service) 

Une vulnérabilité a été identifiée dans PHP, elle pourrait être exploitée par des utilisateurs malveillants afin de contourner les mesures de sécurité et exécuter des commandes arbitraires. Ce problème résulte d'une erreur présente au niveau de la fonction "glob()" qui ne gère pas correctement des arguments malformés, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes via un script PHP malicieux et passer outre les restrictions sécuritaires imposées par "open_basedir" et "safe_mode".

Crédit

Vulnérabilité découverte par shinnai.

Historique

2007-07-17 : Version Initiale
2007-08-31 : MaJ Solution

Recevez les bulletins VUPEN

Le service VUPEN Security VNS permet aux professionnels de la sécurité (RSSI, DSI, administrateurs et consultants) de recevoir en temps-réel, par email, SMS et flux RSS/XML, des bulletins de vulnérabilités complets, détaillés et personnalisés.
 

  VUPEN.COM © Tous droits réservés 2003-2008 - Notice Légale  sécurité informatique