PHP3/PHP4 Logging Format String Vulnerability

Impatto: Medio/alto. Compromissione web server basati su PHP3/4

Le versioni 3 e 4 di PHP sono vulnerabili ad attacchi di tipo “format string” relativamente alle loro funzioni di logging. Questo significa generalmente parlando, che è possibile acquisire privileggi su macchine PHP based che hanno, appunto, attivate le funzioni di logging. Ciò è dovuto ad un set di funzioni di logging proprio di queste due release di PHP che utilizza impropriamente ‘syslog()’ e ‘vsnprintf()’, rendendo la piattaforma vulnerabile- Rammentiamo che il problema non sussiste in caso di Web Server che non utilizzino funzioni di logging. Le patch sono disponibili, sia per la versione 3 sia per la 4.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome