Actualités
Le mois de la sécurité PHP continue, avec 2 nouvelles vulnérabilités, associées à la déserialisation de données.
4 : le compteur de référence ZVAL victime d'un dépassement de capacité avec PHP 4 unserialize
5 : dépassement de capacité avec PHP unserialize (corrigé en 5.2.1 et 4.4.5).
Notons au passage que serialize doit être réservé pour des ressources dont la confidentialité est protégée : ce mécanisme de stockage des variables au format texte ne contient aucun mécanisme de sécurité particulier, limitant les consommation notamment. Il est particulièrement recommandé de ne pas l'utiliser pour communiquer des valeurs au navigateur.
4 : le compteur de référence ZVAL victime d'un dépassement de capacité avec PHP 4 unserialize
5 : dépassement de capacité avec PHP unserialize (corrigé en 5.2.1 et 4.4.5).
Notons au passage que serialize doit être réservé pour des ressources dont la confidentialité est protégée : ce mécanisme de stockage des variables au format texte ne contient aucun mécanisme de sécurité particulier, limitant les consommation notamment. Il est particulièrement recommandé de ne pas l'utiliser pour communiquer des valeurs au navigateur.
Mois des bugs PHP (5 visites)- PHP unserialize() 64 bit Array Creation Denial of Service Vulnerability (3 visites)
- PHP 4 unserialize() ZVAL Reference Counter Overflow (1 visite)
- Serialize (3 visites)
- unserialize (2 visites)
| < Précédent | Suivant > |
|---|
Commentaires
Vous pouvez ajouter votre commentaire! |
Vous devez vous connecter pour commenter