Sécurité publique Canada
Symbole du gouvernement du Canada
Passer au contenu | Passer aux liens institutionnels

Common menu bar links | Liens de navigation communs

Debut du saut de navigation Accueil > Programmes > Intervention > CCRIC > Diffusions analytiques 2012 > AV12-004 : Publication d'un correctif de sécurité PHP critique

Liens institutionnels

Publication d’un correctif de sécurité PHP critique

Numéro : AV12-004
Date : 6 février 2012

Objet

Le présent avis a pour objet d’attirer votre attention sur le correctif de sécurité critique du produit PHP décrit ci-dessous.

Évaluation

En décembre 2011, PHP a publié une mise à jour de sécurité pour corriger une vulnérabilité liée au problème de collision de hachage qui touchait divers produits, dont php et .NET. Consultez l’alerte AL11-005 du CCRIC, Mises en œuvre de tables de hachage vulnérables aux attaques, du 29 décembre 2011 (http://www.securitepublique.gc.ca/prg/em/ccirc/2011/al11-005-fra.aspx).

Toutefois, ce correctif de sécurité a introduit une vulnérabilité critique d’exécution de code à distance. Cette nouvelle vulnérabilité permet à un attaquant de créer une demande POST qui exécute du code dans le contexte d’une application PHP sur un serveur Web sous PHP 5.3.9.

Par conséquent, PHP a publié un correctif de sécurité, PHP 5.3.10.

Référence CVE : CVE-2012-0830 (en anglais)

Mesure suggérée

Le CCIRC recommande aux administrateurs qui ont installé PHP 5.3.9 de tester et de déployer le correctif de sécurité critique dès que possible.

Références (en anglais seulement) :
http://isc.sans.org/diary/Critical+PHP+bug+patched/12520
http://www.securityfocus.com/bid/51830

Téléchargement :
http://php.net/downloads.php

Téléchargement des fichiers exécutables pour Windows :
http://windows.php.net/download/

Note aux lecteurs

Le Centre canadien de réponse aux incidents cybernétiques (CCRIC) constitue le point de convergence au Canada pour les avertissements et l'analyse concernant les menaces et les vulnérabilités cybernétiques, ainsi que pour la coordination de la réponse aux incidents. Le CCRIC est chargé d'assurer la résilience de l'infrastructure essentielle nationale en surveillant les menaces et en coordonnant la réponse du gouvernement fédéral aux incidents de cybersécurité d'intérêt national. Le CCRIC, qui travaille conjointement avec le Centre des opérations du gouvernement (COG) de Sécurité publique Canada, constitue un élément clé de l'approche « tous risques » du gouvernement en regard de la gestion des urgences et de la sécurité nationale.

Pour obtenir des renseignements généraux, veuillez communiquer avec la division des Affaires publiques de Sécurité publique Canada:

Téléphone: 613-944-4875 ou 1-800-830-3118
Télécopieur: 613-998-9589
Courriel: communications@ps-sp.gc.ca

Date de modification : 2012-02-07
Haut de la page
Haut de la page
Avis importants