Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-02649

Опубликовано: 06 июл. 2014
Источник: fstec
CVSS3: 5.3
CVSS2: 2.6
EPSS Низкий

Описание

Уязвимость функции phpinfo (ext/standard/info.c) веб-сервера Apache HTTP Server, интерпретатора языка программирования PHP связана с раскрытием защищаемой информации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, раскрыть защищаемую информацию

Вендор

PHP Group
Red Hat Inc.
Canonical Ltd.
Сообщество свободного программного обеспечения

Наименование ПО

PHP
Red Hat Enterprise Linux
Ubuntu
Debian GNU/Linux

Версия ПО

от 5.4.0 до 5.4.30 (PHP)
от 5.5.0 до 5.5.14 (PHP)
5 (Red Hat Enterprise Linux)
6 (Red Hat Enterprise Linux)
7 (Red Hat Enterprise Linux)
12.04 (Ubuntu)
14.04 ESM (Ubuntu)
7 (Debian GNU/Linux)
6 (Debian GNU/Linux)
10.04 (Ubuntu)

Тип ПО

Прикладное ПО информационных систем
Операционная система

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 5
Red Hat Inc. Red Hat Enterprise Linux 6
Red Hat Inc. Red Hat Enterprise Linux 7
Canonical Ltd. Ubuntu 12.04
Canonical Ltd. Ubuntu 14.04 ESM
Сообщество свободного программного обеспечения Debian GNU/Linux 7
Сообщество свободного программного обеспечения Debian GNU/Linux 6
Canonical Ltd. Ubuntu 10.04

Уровень опасности уязвимости

Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 2,6)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://bugs.php.net/bug.php?id=67498
https://www.php.net/ChangeLog-5.php
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/hydra/rest/securitydata/cve/CVE-2014-4721.xml
Для Ubuntu:
https://ubuntu.com/security/CVE-2014-4721
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2014-4721

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 93%
0.09887
Низкий

5.3 Medium

CVSS3

2.6 Low

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2014-4721

ubuntu
почти 11 лет назад

The phpinfo implementation in ext/standard/info.c in PHP before 5.4.30 and 5.5.x before 5.5.14 does not ensure use of the string data type for the PHP_AUTH_PW, PHP_AUTH_TYPE, PHP_AUTH_USER, and PHP_SELF variables, which might allow context-dependent attackers to obtain sensitive information from process memory by using the integer data type with crafted values, related to a "type confusion" vulnerability, as demonstrated by reading a private SSL key in an Apache HTTP Server web-hosting environment with mod_ssl and a PHP 5.3.x mod_php.

redhat логотип

CVE-2014-4721

redhat
почти 11 лет назад

The phpinfo implementation in ext/standard/info.c in PHP before 5.4.30 and 5.5.x before 5.5.14 does not ensure use of the string data type for the PHP_AUTH_PW, PHP_AUTH_TYPE, PHP_AUTH_USER, and PHP_SELF variables, which might allow context-dependent attackers to obtain sensitive information from process memory by using the integer data type with crafted values, related to a "type confusion" vulnerability, as demonstrated by reading a private SSL key in an Apache HTTP Server web-hosting environment with mod_ssl and a PHP 5.3.x mod_php.

nvd логотип

CVE-2014-4721

nvd
почти 11 лет назад

The phpinfo implementation in ext/standard/info.c in PHP before 5.4.30 and 5.5.x before 5.5.14 does not ensure use of the string data type for the PHP_AUTH_PW, PHP_AUTH_TYPE, PHP_AUTH_USER, and PHP_SELF variables, which might allow context-dependent attackers to obtain sensitive information from process memory by using the integer data type with crafted values, related to a "type confusion" vulnerability, as demonstrated by reading a private SSL key in an Apache HTTP Server web-hosting environment with mod_ssl and a PHP 5.3.x mod_php.

debian логотип

CVE-2014-4721

debian
почти 11 лет назад

The phpinfo implementation in ext/standard/info.c in PHP before 5.4.30 ...

github логотип

GHSA-crxc-8h2p-6c8g

github
около 3 лет назад

The phpinfo implementation in ext/standard/info.c in PHP before 5.4.30 and 5.5.x before 5.5.14 does not ensure use of the string data type for the PHP_AUTH_PW, PHP_AUTH_TYPE, PHP_AUTH_USER, and PHP_SELF variables, which might allow context-dependent attackers to obtain sensitive information from process memory by using the integer data type with crafted values, related to a "type confusion" vulnerability, as demonstrated by reading a private SSL key in an Apache HTTP Server web-hosting environment with mod_ssl and a PHP 5.3.x mod_php.

EPSS

Процентиль: 93%
0.09887
Низкий

5.3 Medium

CVSS3

2.6 Low

CVSS2