Wojciech Purczynski upptäckte att det är möjligt för skript att sända godtycklig text till sendmail som kommandoradsutökning när man sänder ett brev genom PHP, även om safe_mode (”säkert läge”) är aktiverat. Överföring av den femte parametern borde vara inaktiverad om PHP är inställd på att köra i det säkra läget, vilket gäller för nyare PHP-versioner och för versionerna nedan. Detta berör dock inte PHP3.
Wojciech Purczynski upptäckte även att godtycklicka ASCII-styrtecken kan infogas i mail()-funktionens strängparametrar. Om parametrarna till mail() tas från användarindata kan det ge användare möjlighet att ändra innehållet i meddelande, inklusive brevhuvudet.
Ulf Härnhammar upptäckte att file() och fopen() är sårbara för infogning av CRLF. En angripare kan använda detta för att gå förbi vissa restriktioner och lägga till godtycklig text till vad som ser ut som HTTP-anrop som sänds genom.
Detta sker dock bara om något sänds till dessa funktioner som varken är ett giltigt filnamn eller en giltig URL. Strängar som innehåller styrtecken kan inte vara giltiga URLer. Innan du sänder in en sträng som skall vara en URL till vilken funktion som helst måste du använda urlencode() för att koda den.
Tre problem har identifierats i PHP:
Dessa problem har rättats i version 3.0.18-23.1woody1 för PHP3 och 4.1.2-5 för PHP4 för den nuvarande stabila utgåvan (Woody), i version 3.0.18-0potato1.2 för PHP3 och 4.0.3pl1-0potato4 för PHP4 i den gamla stabila utgåvan (Potato) samt i version 3.0.18-23.2 för PHP3 och 4.2.3-3 för PHP4 för den instabila utgåvan (Sid).
Vi rekommenderar att ni uppgraderar era PHP-paket.
MD5-kontrollsummor för dessa filer finns i originalbulletinen.