| Vigil@nce décrit les vulnérabilités informatiques qui affectent vos systèmes, et propose les solutions pour y remédier. |
|
 |
|
|
|
avis de vulnérabilité CVE-2010-0397
PHP : déni de service de xmlrpc
Synthèse de la vulnérabilité
| La fonction xmlrpc_decode_request() de PHP ne valide pas les données XML à traiter, ce qui provoque le déréférencement de pointeur NULL. |
Gravité : 1/4.
Date création : 15/03/2010.
|
Description de la vulnérabilité
L'extension xmlrpc de PHP permet de gérer les appels distants de procédures, exprimés en XML. Par exemple :
<methodCall>
<methodName>fonction</methodName>
<params>...</params>
</methodCall>
La fonction xmlrpc_decode_request() décode les données XML. Cependant, si le bloc "methodName" est absent, un pointeur NULL est déréférencé dans xmlrpc_decode_request().
Un attaquant n'est généralement pas autorisé à envoyer des données xmlrpc (car il pourrait faire exécuter les méthodes publiques de son choix). Cependant, si un attaquant est autorisé à les envoyer, il peut envoyer des données malformées, afin de stopper les applications utilisant xmlrpc_decode_request(). |
Bulletin Vigil@nce complet
Caractéristiques
Titre : PHP : déni de service de xmlrpc.
Mots clés : NULL PHP XML déni methodCall methodName service xmlrpc xmlrpc_decode_request.
Références : 573573, BID-38708, CVE-2010-0397, DSA-2018-1, MDVSA-2010:068, MDVSA-2010:139, MDVSA-2010:140, SUSE-SR:2010:012, SUSE-SR:2010:013, VIGILANCE-VUL-9514.
|
Sources d'information
Solutions pour cette vulnérabilité
Compléments
Service de veille sur les vulnérabilités informatiques
Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information.
La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles.
Ce bulletin a été rédigé par l'équipe Vigil@nce, qui surveille les vulnérabilités informatiques de systèmes et d'applications.
Vulnérabilités informatiques de systèmes
|
