Kritická zraniteľnosť vo funkcii PHP

Oznámenia a varovania
Varovanie

November 25, 2024

Bezpečnostný výskumník Yiheng Cao objavil kritickú zraniteľnosť vyskytujúcu sa v implementácii PHP funkcie ldap_escape() na 32-bitových systémoch. Táto zraniteľnosť súvisí s pretečením medzipamäte, čo umožňuje zápis do pamäte mimo povolené hodnoty.

Zraniteľné systémy:

PHP 8.1.x staršie ako 8.1.31
PHP 8.2.x staršie ako 8.2.26
PHP 8.3.x staršie ako 8.3.14

Opis činnosti:

CVE-2024-8932 (CVSS skóre 9,8)

Kritická zraniteľnosť sa nachádza vo funkcii ldap_escape() na 32-bitových systémoch a vyplýva z chýbajúcej kontroly dlhých reťazcov ako vstupov. Tieto môžu spôsobiť pretečenie celočíselnej premennej, čo vedie k zápisu mimo povolené hodnoty pamäte.

Možné škody:

Poškodenie pamäte

Odporúčania:

Bezodkladná aktualizácia PHP aspoň na verzie:

8.1.31
8.2.26
8.3.14

Odkazy:

https://nvd.nist.gov/vuln/detail/CVE-2024-8932
https://www.php.net/ChangeLog-8.php#PHP_8_3
https://access.redhat.com/security/cve/cve-2024-8932