Attachment 22155 Details for Bug 57949

patchinfo-box.mod_php4

patchinfo-box.mod_php4 (text/plain), 1.28 KB, created by Thomas Biege on 2004-07-14 19:24:46 UTC

(hide)

Description:

Filename:

MIME Type:

Creator: Thomas Biege

Created: 2004-07-14 19:24:46 UTC

Size: 1.28 KB

patch

obsolete

>DISTRIBUTION: 8.0-i386,8.1-i386,8.2-i386,9.0-i386,9.0-x86_64
>PACKAGE: mod_php4
>PACKAGER: tcrhak@suse.cz
>BUGZILLA: 42949
>CATEGORY: security
>DESCRIPTION:
>Security Update:
>This update fix' two security vulnerabilities in mod_php4.
>The frist and less important bug can be exploited by remote attackers
>to bypass HTML tag filtering (cross-site-scripting prevention) by supplying
>special tags. These kind of tags should be ignored because they are not
>valid but they get accepted by some commercial web-browsers.
>The second and latter bug can be exploited by remote attackers by triggering
>the memory_limit in unsafe states of a PHP execution path to execute arbitrary
>code.
>DESCRIPTION_DE:
>Sicherheits-Update:
>Mit diesem Update werden zwei Fehler im PHP4-Modul von Apache behoben.
>Der erste Fehler ist weniger gefaehrlich und besteht darin, dass entfernte
>Angreifer das Filtern von HTML-Tags (Schutz vor Cross-Site-Scripting Angriffe)
>umgehen koennen, indem sie spezielle Tags verwenden. Die speziellen Tags sollten
>eigentlich vom Web-Browser ignoriert werden, dies ist aber nicht der Fall
>bei einigen kommerziellen Browsern.
>Der zweite Fehler kann von entferneten Angreifern dazu benutzt werden
>beliebigen Code auszufuehren, indem das memory_limit an unsicheren Stellen
>im Verlauf des PHP4-Codes ueberschritten wird.

Actions: View

Attachments on bug 57949: 22155 | 22156