L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de PHP : multiples vulnérabilités

Synthèse de la vulnérabilité 

Un attaquant peut employer plusieurs vulnérabilités de PHP.
Produits impactés : Mac OS X, Debian, openSUSE, openSUSE Leap, Solaris, PHP, RHEL, Slackware, Ubuntu.
Gravité de ce bulletin : 2/4.
Nombre de vulnérabilités dans ce bulletin : 7.
Date de création : 08/12/2016.
Références de cette menace : 61183, 71494, 72978, 73087, 73392, 73631, bulletinjul2017, CVE-2016-9935, CVE-2016-9936, DLA-818-1, DSA-3737-1, HT207615, openSUSE-SU-2016:3239-1, openSUSE-SU-2017:0061-1, openSUSE-SU-2017:0081-1, openSUSE-SU-2017:0598-1, RHSA-2018:1296-01, SSA:2016-347-03, USN-3196-1, USN-3211-1, USN-3211-2, VIGILANCE-VUL-21327.

Description de la vulnérabilité 

Plusieurs vulnérabilités ont été annoncées dans PHP.

Un attaquant peut provoquer une fuite mémoire via Spl Hash, afin de mener un déni de service. [grav:1/4]

Un attaquant peut provoquer un débordement d'entier via Calendar, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:2/4]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée via Zend Allocator Management, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:2/4; 73392]

Un attaquant peut provoquer une corruption de mémoire via PDO_Firebird bindParam, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:2/4; 61183, 71494, 73087]

Un attaquant peut provoquer une fuite mémoire via wddx, afin de mener un déni de service. [grav:1/4; 73631, CVE-2016-9935]

Une vulnérabilité inconnue a été annoncée via wddx. [grav:2/4; 73631, CVE-2016-9935]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée via unserialize(), afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:2/4; 72978, CVE-2016-9936]
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette faille cyber-sécurité concerne les logiciels ou systèmes comme Mac OS X, Debian, openSUSE, openSUSE Leap, Solaris, PHP, RHEL, Slackware, Ubuntu.

Notre équipe Vigil@nce a déterminé que la gravité de cette faille cybersécurité est moyen.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de document.

Ce bulletin concerne 7 vulnérabilités.

Un attaquant avec un niveau de compétence expert peut exploiter cette menace.

Solutions pour cette menace 

PHP : version 7.0.14.
La version 7.0.14 est corrigée :
  http://php.net/downloads

PHP : version 5.6.29.
La version 5.6.29 est corrigée :
  http://php.net/downloads

Apple Mac OS X : version 10.12.4.
La version 10.12.4 est corrigée.

Debian 7 : nouveaux paquetages php5 (07/02/2017).
De nouveaux paquetages sont disponibles :
  Debian 7 : php5 5.4.45-0+deb7u7

Debian 8 : nouveaux paquetages php5.
De nouveaux paquetages sont disponibles :
  Debian 8 : php5 5.6.29+dfsg-0+deb8u1

openSUSE 13.2 : nouveaux paquetages php5.
De nouveaux paquetages sont disponibles :
  openSUSE 13.2 : apache2-mod_php5 5.6.1-89.1, php5 5.6.1-89.1

openSUSE Leap 42.2 : nouveaux paquetages php7 (09/01/2017).
De nouveaux paquetages sont disponibles :
  openSUSE Leap 42.2 : apache2-mod_php7 7.0.7-9.1, php7 7.0.7-9.1

openSUSE Leap : nouveaux paquetages php5 (09/01/2017).
De nouveaux paquetages sont disponibles :
  openSUSE Leap 42.1 : apache2-mod_php5 5.5.14-75.1, php5 5.5.14-75.1
  openSUSE Leap 42.2 : apache2-mod_php5 5.5.14-75.2, php5 5.5.14-75.2

Oracle Solaris : patch pour logiciels tiers de juillet 2017 v1.
Un patch est disponible :
  https://support.oracle.com/rs?type=doc&id=1448883.1

RHEL : nouveaux paquetages rh-php70-php.
De nouveaux paquetages sont disponibles :
  RHEL 6 : rh-php70-php 7.0.27-1.el6
  RHEL 7 : rh-php70-php 7.0.27-1.el7

Slackware : nouveaux paquetages php.
De nouveaux paquetages sont disponibles :
  Slackware 14.0 : php 5.6.29-*-1_slack14.0
  Slackware 14.1 : php 5.6.29-*-1_slack14.1
  Slackware 14.2 : php 5.6.29-*-1_slack14.2

Ubuntu : nouveaux paquetages php5 (15/02/2017).
De nouveaux paquetages sont disponibles :
  Ubuntu 14.04 LTS : php5 5.5.9+dfsg-1ubuntu4.21
  Ubuntu 12.04 LTS : php5 5.3.10-1ubuntu3.26

Ubuntu : nouveaux paquetages php7.0.
De nouveaux paquetages sont disponibles :
  Ubuntu 16.10 : php7.0 7.0.15-0ubuntu0.16.10.4
  Ubuntu 16.04 LTS : php7.0 7.0.15-0ubuntu0.16.04.4
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit des alertes de sécurité informatique. Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information.