php

PHP: Plusieurs Failles Découvertes

Les mainteneurs du langage de programmation PHP ont récemment distribué les dernières versions de PHP pour patcher plusieurs vulnérabilités se trouvant dans son noyau et dans ses librairies. La faille la plus sévère permettait d’exécuter du code arbitraire à distance et de compromettre les serveurs ciblés.

Hypertext Preprocessor, plus connu sous le nom de PHP, est le langage de programmation côté-serveur le plus populaire. Il est utilisé sur près de 78% de l’Internet.

Les dernières versions de PHP sont 7.3.9, 7.2.22 et 7.1.32 . Ces nouvelles versions adressent plusieurs vulnérabilités de sécurité.

Selon le type, la circonstance, et l’utilisation de la base de code affectée dans l’application PHP, l’exploitation de certaines de ces vulnérabilités permet à un pirate d’exécuter du code arbitraire dans le contexte de l’application affectée avec les privilèges associés à cette application.

Les tentatives ratées d’exploitation peuvent provoqué des conditions de déni de service (DoS) sur les systèmes affectés.

Ces failles concernent des centaines de milliers d’applications web, y compris les sites utilisant des systèmes de gestion de contenu comme WordPress, Drupal et Typo3.

php vulnerabilités

Parmi ces failles, une vulnérabilité d’exécution de code ‘use-after-free'(utilisation-après-libre), CVE-2019-13224, réside dans Oniguruma, une librairie d’expressions régulières inclut dans PHP, ainsi que dans d’autres langages de programmation.

Un pirate peut exploiter cette faille en insérant une expression régulière spéciale dans une application web affecté, cela peut potentiellement causé une exécution de code ou une divulgation d’information.

“Le pirate fournit une paire de modèles d’expressions régulières et une chaîne de caractère, avec un codage multi-octet qui est manipulé par onig_new_deluxe(),” a déclaré Red Hat dans son rapport de sécurité décrivant la vulnérabilité.

D’autres failles patchées affectent l’extension curl, la fonction Exif, le gestionnaire de processus FastCGI (FPM), la fonctionnalité Opcache, et bien d’autres encore.

La bonne nouvelle c’est qu’aucune campagne d’exploitation ciblant ces vulnérabilités n’a été détecté pour le moment.

Comment se protéger de ces failles PHP?

L’équipe de sécurité de PHP a adressé ces vulnérabilités dans ses dernières versions. Il est donc recommandé aux utilisateurs et aux hébergeurs de mettre à jour leurs serveurs en installant les dernières versions:  7.3.97.2.22, ou 7.1.32.

Si cet article vous a plu, jetez un œil à notre précédent article.

Poster un Commentaire

avatar
  S’abonner  
Notifier de