Alertes sécurité des applications PHP et MySQL, édition 140

MySQL ne fait l'objet d'aucune alerte de sécurité dans ses versions courantes : MySQL 5.0.37 (communauté) et 5.0.38 (entreprise), 4.1.22, ainsi que 5.1.16-beta et 5.2.3. Les mises à jour sont recommandées vers ces versions.

Pour PHP 5.2.1, de nombreuses vulnérabilités sont identifiées, et à venir, durant le mois de la sécurité PHP. Actuellement, le mieux est de passer à la version 5.2.1, et d'attendre la prochaine version qui devrait arriver début Avril.

PHP 4.4.6 est sorti, yne version 4.4.7 est alors programmée même temps que PHP 5.2.2.

8 alertes de sécurité ont été émises cette semaine, concernant des applications suivantes :

Gallery, Horde, Joomla, PHP Nuke, Xoops, ez, phpBB et phpdoc

• PHP remote file inclusion vulnerability in module.php in Digital Eye Gallery 1.1 Beta (aka 0.1.1b) allows remote attackers to execute arbitrary PHP code via a URL in the menu parameter.
  
   http://cve.mitre.org/cgibin/cvename.cgi?name=CVE20071600 (6 visites)
  
  Site :  http://gallery.sourceforge.net/ (5 visites)


• Horde Groupware Webmail Edition Unspecified Parameters Multiple HTML Injection Vulnerabilities
  
   http://www.securityfocus.com/bid/23136 (7 visites)
  
  Site :  http://www.horde.org/ (5 visites)


• WebFormatique Car Manager Joomla Component Index.PHP SQL Injection Vulnerability
  
   http://www.securityfocus.com/bid/23131 (8 visites)
  
  Site :  http://www.secunia.com/advisories/24629/q title=PHPNuke AntiCrossSite Request Forgery Routine Bypass Vulnerability (5 visites)


• PHP-Nuke Anti-Cross-Site Request Forgery Routine Bypass Vulnerability
  
   http://www.securityfocus.com/bid/23160 (5 visites)
  
  Site :  http://www.xoops.org/ (5 visites)


• Xoops Print.PHP SQL Injection Vulnerability
  
   http://cve.mitre.org/cgibin/cvename.cgi?name=CVE20071708 (5 visites)
  
  Site :  http://www.ez.no/ (5 visites)


• PHP remote file inclusion vulnerability in lib/db/ez_sql.php in ttCMS 4 and earlier allows remote attackers to execute arbitrary PHP code via a URL in the lib_path parameter.
  
   http://cve.mitre.org/cgibin/cvename.cgi?name=CVE20071695 (7 visites)
  
  Site :  http://www.phpbb.com/ (5 visites)


• ** DISPUTED ** PHP remote file inclusion vulnerability in includes/usercp_register.php in phpBB 2.0.19 allows remote attackers to execute arbitrary PHP code via a URL in the phpbb_root_path parameter. NOTE: this issue has been disputed by third-party rese
  
   http://cve.mitre.org/cgibin/cvename.cgi?name=CVE20071709 (7 visites)
  
  Site :  http://www.phpdoc.org/ (5 visites)


• Buffer overflow in the confirm_phpdoc_compiled function in the phpDOC extension (PECL phpDOC) in PHP 5.2.1 allows context-dependent attackers to execute arbitrary code via a long argument string.
  
   phpsecure (7 visites)
  
  Site :  secunia (6 visites)

•  securityfocus (5 visites)