Несколько уязвимостей в Zend Platform

Дата публикации:
19.03.2007
Дата изменения:
28.01.2008
Всего просмотров:
1136
Опасность:
Низкая
Наличие исправления:
Инстуркции по устранению
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2007-1369
CVE-2007-1370
Вектор эксплуатации:
Локальная
Воздействие:
Повышение привилегий
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Zend Platform 2.x
Уязвимые версии: Zend Platform 2.2.3, возможно более ранние версии.

Описание:
Обнаруженные уязвимости позволяют локальному пользователю повысит свои привилегии на системе.

1. Уязвимость существует в утилите "ini_modifier" при открытии и обновлении файла "php.ini". Злоумышленник может обойти защиту паролем и разрешить загрузку злонамеренных PHP расширений при следующем перезапуске сервера.

2. Уязвимость существует из-за того, что различные файлы имеют небезопасные привилегии на доступ и из владельцем может стать Web север либо пользователь, установивший Zend Platform. Злоумышленник может получить полный доступ к файлам после перезагрузки Web сервера.

URL производителя: www.zend.com/products/zend_platform

Решение:
1. Измените привилегии на доступ к файлу и установите новый "ini_modifier".
2. Установите версию 3.0 или выше.

Ссылки: http://www.zend.com/products/zend_platform/security_vulnerabilities
http://www.php-security.org/MOPB/BONUS-06-2007.html
http://www.php-security.org/MOPB/BONUS-07-2007.html

или введите имя

CAPTCHA