[DDR] webwml://security/2002/dsa-168.wml
Bonjour à tous,
voici la traduction du bulletin d'alerte 168 (PHP), merci par avance
pour les relectures,
A+
--
Pierre Machard
<pmachard@tuxfamily.org> TuxFamily.org
<pmachard@techmag.net> techmag.net
+33(0)668 178 365 http://migus.tuxfamily.org/gpg.txt
GPG: 1024D/23706F87 : B906 A53F 84E0 49B6 6CF7 82C2 B3A0 2D66 2370 6F87
#use wml::debian::translation-check translation="1.2" maintainer="Pierre Machard"
<define-tag description>Transgression du safe_mode, ajout de CRLF</define-tag>
<define-tag moreinfo>
<p>Wojciech Purczynski a découvert qu'il était possible que des scripts
envoient du texte à sendmail, comme s'il s'agissait d'un suffixe de la
ligne de commande, lors de l'envoi d'un courriel avec PHP même lorsque le
« safe_mode » est activé. L'envoi d'un cinquième argument
devrait être désactivé lorsque PHP est configuré avec le
« safe_mode ». Cela concerne les nouvelles versions de PHP
et les versions précédentes. Cela ne concerne toute fois pas PHP3.</p>
<p>Wojciech Purczynski a également découvert que des caractères de contrôle
ASCII pouvaient être ajoutés arbitrairement dans la chaîne d'argument de la
fonction mail(). Si les arguments de la fonction mail() sont
fournis par l'utilisateur, ce dernier peut modifier le contenu
du message et également les en-têtes du courriel.</p>
<p>Ulf Harnhammar a découvert que file() et fopen() étaient vulnérables à
l'ajout de CRLF. Un assaillant peut l'utiliser pour contourner certaines
restrictions et ajouter un texte de son choix pour brouiller les requêtes
HTTP qui sont envoyées.</p>
<p>Cependant, cela survient uniquement si quelque chose est passé en argument
de ces fonctions. Il ne peut pas s'agir ni d'un nom de fichier valide, ni une
url valide. En effet une chaîne de caractère qui contiendrait des caractères
de contrôle ne serait pas une url valide. Avant de passer une chaîne
de caractère représentant une URL, à une fonction, vous devez utiliser
urlencode() pour l'encoder.</p>
<p>Trois problèmes ont été identifiés dans PHP :</p>
<ol>
<li>La fonction mail() peut permettre de spécifier des en-têtes de courriels
arbitrairement si l'adresse du destinataire ou le sujet contiennent
les caractères CR/LF.</li>
<li>La fonction mail() ne désactive pas, comme elle est sensé le faire
l'ajout d'un suffixe à sendmail lorsqu'elle fonctionne en « Safe
Mode ».</li>
<li>La fonction fopen(), lorsqu'elle reçoit une URL, peut permettre la
manipulation de la requête grâce à l'URL qui contient les caractères
CR/LF. Par exemple, des en-têtes peuvent être ajoutés à une requête
HTTP.</li>
</ol>
<p>Ces problèmes ont été corrigés dans la version 3.0.18-23.1woody1
pour PHP3 et 4.1.2-5 pour PHP4 pour l'actuelle distribution stable
(<i>Woody</i>), dans la version 3.0.18-0potato1.2 pour PHP3 et
4.0.3pl1-0potato4 pour PHP4 dans l'ancienne distribution stable (<i>Potato</i>)
et dans la version 3.0.18-23.2 pour PHP3 et 4.2.3-3 pour PHP4 dans
la distribution <i>unstable</i> (<i>Sid</i>).</p>
<p>Nous vous recommandons de mettre à jours vos paquets PHP.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-168.data"
Reply to: