[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[DDR] webwml://security/2002/dsa-168.wml

Bonjour à tous,

voici la traduction du bulletin d'alerte 168 (PHP), merci par avance
pour les relectures,

A+
-- 
                                Pierre Machard
<pmachard@tuxfamily.org>                                  TuxFamily.org
<pmachard@techmag.net>                                      techmag.net
+33(0)668 178 365                    http://migus.tuxfamily.org/gpg.txt
GPG: 1024D/23706F87 : B906 A53F 84E0 49B6 6CF7 82C2 B3A0 2D66 2370 6F87

#use wml::debian::translation-check translation="1.2" maintainer="Pierre Machard"
<define-tag description>Transgression du safe_mode, ajout de CRLF</define-tag>
<define-tag moreinfo>
<p>Wojciech Purczynski a découvert qu'il était possible que des scripts
envoient du texte à sendmail, comme s'il s'agissait d'un suffixe de la
ligne de commande, lors de l'envoi d'un courriel avec PHP même lorsque le
«&nbsp;safe_mode&nbsp;» est activé. L'envoi d'un cinquième argument
devrait être désactivé lorsque PHP est configuré avec le 
«&nbsp;safe_mode&nbsp;». Cela concerne les nouvelles versions de PHP
et les versions précédentes. Cela ne concerne toute fois pas PHP3.</p>

<p>Wojciech Purczynski a également découvert que des caractères de contrôle
ASCII pouvaient être ajoutés arbitrairement dans la chaîne d'argument de la 
fonction mail(). Si les arguments de la fonction mail() sont
fournis par l'utilisateur, ce dernier peut modifier le contenu
du message et également les en-têtes du courriel.</p>

<p>Ulf Harnhammar a découvert que file() et fopen() étaient vulnérables à
l'ajout de CRLF. Un assaillant peut l'utiliser pour contourner certaines 
restrictions et ajouter un texte de son choix pour brouiller les requêtes
HTTP qui sont envoyées.</p>

<p>Cependant, cela survient uniquement si quelque chose est passé en argument
de ces fonctions. Il ne peut pas s'agir ni d'un nom de fichier valide, ni une 
url valide. En effet une chaîne de caractère qui contiendrait des caractères
de contrôle ne serait pas une url valide. Avant de passer une chaîne 
de caractère représentant une URL, à une fonction, vous devez utiliser 
urlencode() pour l'encoder.</p>

<p>Trois problèmes ont été identifiés dans PHP&nbsp;:</p>

<ol>
<li>La fonction mail() peut permettre de spécifier des en-têtes de courriels
    arbitrairement si l'adresse du destinataire ou le sujet contiennent
    les caractères CR/LF.</li>

<li>La fonction mail() ne désactive pas, comme elle est sensé le faire
    l'ajout d'un suffixe à sendmail lorsqu'elle fonctionne en «&nbsp;Safe
    Mode&nbsp;».</li>

<li>La fonction fopen(), lorsqu'elle reçoit une URL, peut permettre la
    manipulation de la requête grâce à l'URL qui contient les caractères
    CR/LF. Par exemple, des en-têtes peuvent être ajoutés à une requête
    HTTP.</li>
</ol>

<p>Ces problèmes ont été corrigés dans la version&nbsp;3.0.18-23.1woody1
pour PHP3 et 4.1.2-5 pour PHP4 pour l'actuelle distribution stable 
(<i>Woody</i>), dans la version&nbsp;3.0.18-0potato1.2 pour PHP3 et
4.0.3pl1-0potato4 pour PHP4 dans l'ancienne distribution stable (<i>Potato</i>)
et dans la version&nbsp;3.0.18-23.2 pour PHP3 et 4.2.3-3 pour PHP4 dans
la distribution <i>unstable</i> (<i>Sid</i>).</p>

<p>Nous vous recommandons de mettre à jours vos paquets PHP.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-168.data"
Reply to: