Des failles de sécurité ont été découvertes dans PHP, dont une d’importance critique qui pourrait permettre à un attaquant d’exécuter du code à distance, il est important de faire la mise à jour.
Les failles
– Vulnérabilité de classe XML external entity (risque de divulgation de l’ensemble des fichiers locaux accessibles à PHP )
CVE-CVE-2023-3823, risque élevé.
Versions de PHP affectées :
- PHP 8.0.x antérieures à PHP 8.0.30
- PHP 8.1.x antérieures à PHP 8.1.22
- PHP 8.2.x antérieures à PHP 8.2.8
Solutions :
Pour obtenir les correctifs, se référer au bulletin de sécurité de l’éditeur :
Bulletin de sécurité PHP 8.1.22 du 03 août 2023
https://www.php.net/ChangeLog-8.php#8.1.22
Pour en savoir plus :
– Buffer overflow et overread dans phar_dir_read()
CVE-CVE-2023-3823, risque élevé
Lors du chargement du fichier phar, au moment de la lecture des entrées du répertoire PHAR, un probleme de vérification peut entraîner un débordement de la mémoire tampon de la pile, conduisant potentiellement à une corruption de la mémoire ou à un RCE (Exectution de code à distance).
Versions de PHP affectées :
- PHP 8.0.x antérieures à PHP 8.0.30
- PHP 8.1.x antérieures à PHP 8.1.22
- PHP 8.2.x antérieures à PHP 8.2.8
Solutions :
Pour obtenir les correctifs, se référer au bulletin de sécurité de l’éditeur :
Bulletin de sécurité PHP 8.1.22 du 03 août 2023
https://www.php.net/ChangeLog-8.php#8.1.22
Pour en savoir plus sur cette vulnérabilité :
Vous ne savez pas si vous êtes concerné ?
Vous ne savez pas si vous êtes concerné ou comment appliquer la mise à jour de votre version de PHP :
Dans ce cas n’hésitez pas à contacter notre service technique qui pourra vous indiquer si vous utilisez les versions faillibles de PHP, et le cas échéant vous accompagner dans le cadre de votre abonnement d’infogérance si ce dernier inclut des interventions techniques ou dans le cadre d’une prestation.