Actualités
Stefan Esser publie les trois premières vulnérabilités PHP qu'il a identifié pour son mois de la sécurité PHP.
1) dépassement de capacité du compteur de référence
2) dépassement de capacité avec la récursivité
3) dépassement de capacité avec la récursivité dans le Zend Engine
Ces trois problèmes conduisent à des crash de PHP. Le premier problème peut être corrigé en recompilant PHP avec un compteur de références de plus grande taille. Les deux autres sont dépendants de protections de la pile, qui empêcheraient d'en atteindre la fin sans prendre de mesure. Le patch Suhoshin, publié par Stefan Esser lui-même, permet de prendre en compte ce type de vulnérabilité.
Cette première livraison représente les trois premières vulnérabilités. Bien que le but soit de publier une vulnérabilité par jour, le projet de MOPB (Month Of PHP Bugs) ne s'impose pas de publier une par jour.
On attend maintenant les réactions du coté PHP. Un projet de liste des vulnérabilités associées à chaque version de PHP est en gestation.
1) dépassement de capacité du compteur de référence
2) dépassement de capacité avec la récursivité
3) dépassement de capacité avec la récursivité dans le Zend Engine
Ces trois problèmes conduisent à des crash de PHP. Le premier problème peut être corrigé en recompilant PHP avec un compteur de références de plus grande taille. Les deux autres sont dépendants de protections de la pile, qui empêcheraient d'en atteindre la fin sans prendre de mesure. Le patch Suhoshin, publié par Stefan Esser lui-même, permet de prendre en compte ce type de vulnérabilité.
Cette première livraison représente les trois premières vulnérabilités. Bien que le but soit de publier une vulnérabilité par jour, le projet de MOPB (Month Of PHP Bugs) ne s'impose pas de publier une par jour.
On attend maintenant les réactions du coté PHP. Un projet de liste des vulnérabilités associées à chaque version de PHP est en gestation.
PHP Security dot org (13 visites)- PHP Variable Destructor Deep Recursion Stack Overflow (6 visites)
- PHP Executor Deep Recursion Stack Overflow (6 visites)
- PHP 4 Userland ZVAL Reference Counter Overflow Vulnerability (3 visites)
| < Précédent | Suivant > |
|---|
Commentaires
Vous pouvez ajouter votre commentaire! |
Vous devez vous connecter pour commenter