Несколько уязвимостей в PHP

27.08.2002 | 15:26
В PHP функции mail() обнаружены две новые уязвимости. Первая уязвимость позволяет выполнять произвольные программы/скрипты, обходя ограничения safe_mode. Пятый аргумент в функции mail() позволяет определять опции командной строки при обращении к sendmail. Проблема заключается в том, что обнаружена возможность передачи метасимволов в этом аргументе, что и позволяет выполнять произвольные команды или внешние программы.

Вторая уязвимость позволяет подделывать почтовые заголовки и использовать скрипты в качестве открытого почтового ретранслятора. Причина этой проблемы кроется в возможности внедрения ASCII символов в параметры функции mail().

Уязвимы: PHP 4.0- 4.2.2.
безопасность, информация, защита информации, статьи, библиотека, аудит, администрирование, реагирование на инциденты, криптография, уязвимость
По материалам http://securitylab.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код