bulletin de vulnérabilité CVE-2011-2483 CVE-2011-3182 CVE-2011-3267

PHP : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut provoquer plusieurs vulnérabilités de PHP, afin de mener un déni de service, et éventuellement d'exécuter du code.
Produits concernés : Debian, BIG-IP Appliance, Fedora, MES, Mandriva Linux, openSUSE, PHP, RHEL, Slackware, SLES.
Gravité : 2/4.
Date création : 19/08/2011.
Références : BID-49241, BID-49249, CVE-2011-2483, CVE-2011-3182, CVE-2011-3267, CVE-2011-3268, DSA 2399-1, DSA 2399-2, FEDORA-2011-11528, FEDORA-2011-11537, MDVSA-2011:165, MDVSA-2012:071, openSUSE-SU-2011:1137-1, openSUSE-SU-2011:1138-1, RHSA-2011:1423-01, SOL13519, SSA:2011-237-01, SUSE-SU-2012:0496-1, VIGILANCE-VUL-10933.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans PHP.

Lorsqu'un utilisateur a un mot de passe contenant des caractères 8 bits, l'algorithme de hachage Blowfish de crypt() génère un haché invalide, qui est potentiellement plus rapide à retrouver par brute force (VIGILANCE-VUL-10934). [grav:2/4; CVE-2011-2483]

Un attaquant peut provoquer un déni de service dans error_log(). [grav:2/4; CVE-2011-3267]

Un attaquant peut fournir un sel trop long à la fonction crypt(), afin de provoquer un buffer overflow. [grav:2/4; CVE-2011-3268]

Un attaquant peut provoquer plusieurs déréférences de pointeurs nuls. [grav:2/4; CVE-2011-3182]
Bulletin Vigil@nce complet.... (accès gratuit)

Partagez ce bulletin

          

Service de veille sur les vulnérabilités informatiques

Vigil@nce fournit des alertes de vulnérabilités de réseaux. La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles. La cellule de veille technologique suit les menaces sécurité qui ciblent le parc informatique. L'équipe Vigil@nce surveille les vulnérabilités informatiques de systèmes et d'applications.