Vulnerabilità: CVE-2006-3016

la vulnerabilità non specificata in session.c in PHP 5.1.3, prima ha un impatto e di attacco vettori sconosciuti, simili a ""alcuni caratteri nei nomi di sessione"", tra cui i caratteri speciali che sono spesso associati con l’iniezione CRLF, SQL injection, cross-site scripting (XSS) e vulnerabilità HTTP response splitting. NOTA: mentre la natura della vulnerabilità non è specificato, è probabile che questo è legato ad una violazione di un’aspettativa da applicazioni PHP che il nome della sessione è alfanumerica, come implicito nel manuale di PHP per session_name ().


http://www.securityfocus.com/bid/17843
http://www.securityfocus.com/archive/1/447866/100/0/threaded
http://support.avaya.com/elmodocs2/security/ASA-2006-221.htm
http://support.avaya.com/elmodocs2/security/ASA-2006-222.htm
http://www.php.net/release_5_1_3.php
https://issues.rpath.com/browse/RPL-683
http://www.mandriva.com/security/advisories?name=MDKSA-2006:122
http://www.osvdb.org/25253
https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A10597
http://www.redhat.com/support/errata/RHSA-2006-0669.html
http://www.redhat.com/support/errata/RHSA-2006-0682.html
http://rhn.redhat.com/errata/RHSA-2006-0736.html
http://securitytracker.com/id?1016306
http://secunia.com/advisories/19927
http://secunia.com/advisories/21050
http://secunia.com/advisories/22004
http://secunia.com/advisories/22069
http://secunia.com/advisories/22225
http://secunia.com/advisories/22440
http://secunia.com/advisories/22487
http://secunia.com/advisories/23247
http://www.turbolinux.com/security/2006/TLSA-2006-38.txt
http://www.ubuntu.com/usn/usn-320-1
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3016


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi