Vulnérabilité des codes sources à distance
2 messages
• Page 1 sur 1
Vulnérabilité des codes sources à distance
Un Patch-PHP-CGI vient d'être divulgué pour l'exécution à distance d'un code qui peut exposer tous les codes sources!
Les configurations PHP-CGI contiennent une vulnérabilité lors de l'analyse des paramètres de chaîne de requête à partir de fichiers php.
Les développeurs étaient encore dans le processus de construction du patch pour la faille lorsqu'il a été révélé mercredi, mais la vulnérabilité ne peut être exploitée que si le serveur HTTP suit une partie assez cachée de la spécification CGI.
Selon advisory (CVE-2012-1823), les installations PHP-CGI sont vulnérables à l'exécution de code à distance.
Vous pouvez exécuter la commande en ligne arguments comme le "-s" "show source" passage à PHP via la chaîne de requête.
Par exemple,
Ce bug à été nommé Eindbazen
Pour le moment aucun correctif ou patch pour contrer ce BUG
Qu'est-ce cette vulnérabilité peut faire?
Les configurations PHP-CGI contiennent une vulnérabilité lors de l'analyse des paramètres de chaîne de requête à partir de fichiers php.
Les développeurs étaient encore dans le processus de construction du patch pour la faille lorsqu'il a été révélé mercredi, mais la vulnérabilité ne peut être exploitée que si le serveur HTTP suit une partie assez cachée de la spécification CGI.
Selon advisory (CVE-2012-1823), les installations PHP-CGI sont vulnérables à l'exécution de code à distance.
Vous pouvez exécuter la commande en ligne arguments comme le "-s" "show source" passage à PHP via la chaîne de requête.
Par exemple,
On pouvait voir la source par l'intermédiaire "https://localhost/test.php?-s". Un attaquant distant non authentifié pourrait obtenir des informations sensibles, causer un déni de service ou peut être en mesure d'exécuter du code arbitraire avec les privilèges du serveur web.
Ce bug à été nommé Eindbazen
Pour le moment aucun correctif ou patch pour contrer ce BUG
Qu'est-ce cette vulnérabilité peut faire?
Il peut aider un attaquant à trouver des mots de passe de base de données, les emplacements de fichiers, etc, et exécuter n'importe quel fichier sur le disque local du serveur.
Ainsi, lorsque PHP est utilisé dans une configuration basé sur CGI le php-cgi reçoit un paramètre de requête chaîne transformés comme arguments de ligne de commande qui permet les lignes de commandes tels que -s,-d ou-c pour être transmis à la php- cgi, qui peut être exploitée afin de divulguer le code source et d'obtenir l'exécution de code arbitraire
Dernière édition par MamieSophie le Ven 25 Mai 2012 17:05, édité 1 fois.
Raison: Corrigé!
Raison: Corrigé!
-
sniper3d
- Master Gamer
- Messages: 2480
- Inscription: Lun 3 Jan 2011 14:07
- Sexe:
- Wi-Fi: Oui
- Dongle PS3: Aucun
heuuuuu.... Au secours!!!!
-
Oops
- God Member
- Messages: 7083
- Inscription: Jeu 2 Avr 2009 02:35
- Localisation: 17 et 95
- Sexe:
- Wi-Fi: Oui
- cIOS Wii: Wii vendu
- Type de DS: 3DS
- Linker DS: R4i GOLD 3DS (r4ids.cn)
- Firmware PS3: 4.11
- CFW PS3: ode a venir
- Type de PSP: Fat
- Firmware PSP: 6.60 pro-B10
- Type de Xbox360: Fat
- Lecteur Xbox360: LiteOn
- Firmware Xbox360: LT+3.0 rgh2 coolrunn
- Dashboard: 3.775
2 messages
• Page 1 sur 1
Retourner vers Logiciels/Patchs PC
Articles en relation
-
- Sujets
- Réponses
- Vus
- Dernier message
-
- Vulnérabilité XSS sur twitter
par sniper3d » Dim 4 Déc 2011 20:57 - 0 Réponses
- 961 Vus
- Dernier message par sniper3d
Dim 4 Déc 2011 20:57
- Vulnérabilité XSS sur twitter
-
- Vulnérabilité dans Sandbox Mac OS X
par sniper3d » Dim 13 Nov 2011 08:43 - 0 Réponses
- 1123 Vus
- Dernier message par sniper3d
Dim 13 Nov 2011 08:43
- Vulnérabilité dans Sandbox Mac OS X
-
- Vulnérabilité Zero Day du noyau Windows Trouvé
par sniper3d » Jeu 3 Nov 2011 03:35 - 0 Réponses
- 943 Vus
- Dernier message par sniper3d
Jeu 3 Nov 2011 03:35
- Vulnérabilité Zero Day du noyau Windows Trouvé
-
- Vulnérabilité dans windows phone 7.5
par sniper3d » Ven 16 Déc 2011 19:33 - 2 Réponses
- 1020 Vus
- Dernier message par Franck97
Ven 16 Déc 2011 22:49
- Vulnérabilité dans windows phone 7.5
-
- Vulnérabilité dans Kaspersky Internet Security
par sniper3d » Ven 23 Déc 2011 05:15 - 0 Réponses
- 1027 Vus
- Dernier message par sniper3d
Ven 23 Déc 2011 05:15
- Vulnérabilité dans Kaspersky Internet Security
Qui est en ligne
Utilisateurs parcourant ce forum: Aucun membre et 3 invités