L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de PHP

bulletin de vulnérabilité informatique CVE-2018-19935

PHP : déréférencement de pointeur NULL via imap_mail

Synthèse de la vulnérabilité

Produits concernés : Debian, PHP.
Gravité : 1/4.
Conséquences : déni de service du service, déni de service du client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 10/12/2018.
Références : 77020, CVE-2018-19935, DLA-1608-1, DSA-4353-1, VIGILANCE-VUL-27988.

Description de la vulnérabilité

Un attaquant peut forcer le déréférencement d'un pointeur NULL via imap_mail() de PHP, afin de mener un déni de service.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité 27802

PHP : fuite mémoire via Garbage Collector Cyclic Reference

Synthèse de la vulnérabilité

Produits concernés : Fedora, PHP.
Gravité : 1/4.
Conséquences : déni de service du service, déni de service du client.
Provenance : compte utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 16/11/2018.
Références : 76946, FEDORA-2018-08ceba4f8f, FEDORA-2018-6855bf9ff3, VIGILANCE-VUL-27802.

Description de la vulnérabilité

Un attaquant peut provoquer une fuite mémoire via Garbage Collector Cyclic Reference de PHP, afin de mener un déni de service.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité informatique 27488

PHP : corruption de mémoire via method_exists

Synthèse de la vulnérabilité

Produits concernés : PHP.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, déni de service du service, déni de service du client.
Provenance : compte utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 11/10/2018.
Références : 76901, VIGILANCE-VUL-27488.

Description de la vulnérabilité

Un attaquant peut provoquer une corruption de mémoire via method_exists() de PHP, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité informatique CVE-2018-17082

PHP : Cross Site Scripting via Transfer-Encoding Chunked

Synthèse de la vulnérabilité

Produits concernés : Debian, openSUSE Leap, Solaris, PHP, Slackware, SUSE Linux Enterprise Desktop, SLES, WindRiver Linux.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 13/09/2018.
Références : 76582, bulletinoct2018, CERTFR-2018-AVI-439, CVE-2018-17082, DLA-1509-1, DSA-4353-1, openSUSE-SU-2018:2929-1, openSUSE-SU-2018:3056-1, openSUSE-SU-2018:3062-1, SSA:2018-257-01, SUSE-SU-2018:2887-1, SUSE-SU-2018:3016-1, SUSE-SU-2018:3017-1, SUSE-SU-2018:3018-1, VIGILANCE-VUL-27229.

Description de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via Transfer-Encoding Chunked de PHP, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique CVE-2017-9118

PHP : lecture de mémoire hors plage prévue via php_pcre_replace_impl

Synthèse de la vulnérabilité

Produits concernés : openSUSE Leap, PHP, SUSE Linux Enterprise Desktop, SLES.
Gravité : 2/4.
Conséquences : lecture de données, déni de service du service, déni de service du client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 07/09/2018.
Références : 74604, CVE-2017-9118, openSUSE-SU-2018:2648-1, openSUSE-SU-2018:2694-1, SUSE-SU-2018:2640-1, SUSE-SU-2018:2681-1, SUSE-SU-2018:2682-1, VIGILANCE-VUL-27175.

Description de la vulnérabilité

Un attaquant peut forcer la lecture à une adresse invalide via php_pcre_replace_impl de PHP, afin de mener un déni de service, ou d'obtenir des informations sensibles.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité 27043

PHP : multiples vulnérabilités

Synthèse de la vulnérabilité

Produits concernés : PHP.
Gravité : 2/4.
Conséquences : déni de service du service, déni de service du client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 20/08/2018.
Références : CERTFR-2018-AVI-401, VIGILANCE-VUL-27043.

Description de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de PHP.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité CVE-2017-9120

PHP : débordement d'entier via mysqli_real_escape_string

Synthèse de la vulnérabilité

Produits concernés : openSUSE Leap, PHP, SUSE Linux Enterprise Desktop, SLES, WindRiver Linux.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, déni de service du service, déni de service du client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 16/08/2018.
Références : 74544, CVE-2017-9120, openSUSE-SU-2018:2405-1, SUSE-SU-2018:2333-1, SUSE-SU-2018:2337-1, VIGILANCE-VUL-27020.

Description de la vulnérabilité

Un attaquant peut provoquer un débordement d'entier via mysqli_real_escape_string() de PHP, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité CVE-2018-14851 CVE-2018-14883 CVE-2018-15132

PHP : multiples vulnérabilités

Synthèse de la vulnérabilité

Produits concernés : Debian, Fedora, openSUSE Leap, Solaris, PHP, Slackware, SUSE Linux Enterprise Desktop, SLES, Ubuntu, WindRiver Linux.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, lecture de données, création/modification de données, déni de service du service, déni de service du client.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 19/07/2018.
Références : bulletinoct2018, CERTFR-2018-AVI-355, CVE-2018-14851, CVE-2018-14883, CVE-2018-15132, DLA-1490-1, DSA-4353-1, FEDORA-2018-6f37f99641, FEDORA-2018-9438795217, openSUSE-SU-2018:2405-1, openSUSE-SU-2018:2694-1, SSA:2018-201-01, SUSE-SU-2018:2333-1, SUSE-SU-2018:2337-1, SUSE-SU-2018:2681-1, SUSE-SU-2018:2682-1, USN-3766-1, USN-3766-2, VIGILANCE-VUL-26804.

Description de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de PHP.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité informatique CVE-2018-12882

PHP : utilisation de mémoire libérée via exif_read_from_impl

Synthèse de la vulnérabilité

Produits concernés : openSUSE Leap, PHP, SUSE Linux Enterprise Desktop, SLES, Ubuntu, WindRiver Linux.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, déni de service du service, déni de service du client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 26/06/2018.
Références : 76409, CVE-2018-12882, openSUSE-SU-2018:1913-1, openSUSE-SU-2018:2014-1, openSUSE-SU-2018:2694-1, SUSE-SU-2018:1886-1, SUSE-SU-2018:1936-1, SUSE-SU-2018:1936-2, SUSE-SU-2018:2044-1, SUSE-SU-2018:2682-1, USN-3702-1, USN-3702-2, VIGILANCE-VUL-26539.

Description de la vulnérabilité

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée via exif_read_from_impl() de PHP, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité 26511

PHP : lecture de fichier via openssl_pkey_get_public

Synthèse de la vulnérabilité

Produits concernés : PHP.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 25/06/2018.
Références : CERTFR-2018-AVI-302, VIGILANCE-VUL-26511.

Description de la vulnérabilité

Un attaquant local peut lire un fichier via openssl_pkey_get_public() de PHP, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur PHP :