VULNERABILITÀ PHP: ATTACCO DOS SUL SERVER STESSO TRAMITE CARICAMENTO DI FILE CON NOME FILE TROPPO LUNGO

29 Maggio 2020 - Tempo di lettura: 3 minuti

ID CVE : CVE-2019-11048

Descrizione

La vulnerabilità consente a un utente malintenzionato remoto di eseguire un attacco denial of service (DoS).

La vulnerabilità è dovuta al modo in cui PHP gestisce nomi di file lunghi o nomi di campi durante il caricamento dei file. Un utente malintenzionato remoto può fornire un nome file troppo lungo all'applicazione che condurrà il motore PHP a tentare di allocare memoria di grandi dimensioni, raggiungere il limite di memoria e interrompere l'elaborazione della richiesta, senza ripulire i file temporanei creati dalla richiesta di caricamento. Ciò comporterà l'accumulo di file temporanei non ripuliti esaurendo lo spazio su disco sul server di destinazione.

Soluzione

Installa gli aggiornamenti dal sito Web del fornitore.

Versioni del software vulnerabili

PHP: 7.2.0, 7.2.1, 7.2.2, 7.2.3, 7.2.4, 7.2.5, 7.2.6, 7.2.7, 7.2.8, 7.2.9, 7.2.10, 7.2.11, 7.2.12, 7.2.13, 7.2.14, 7.2.15, 7.2.16, 7.2.17, 7.2.18, 7.2.19, 7.2.20, 7.2.21, 7.2.22, 7.2.23, 7.2. 24, 7.2.25, 7.2.26, 7.2.27, 7.2.28, 7.2.29, 7.2.30, 7.3.0, 7.3.0alpha1, 7.3.0alpha4, 7.3.0beta1, 7.3.0beta3, 7.3.1, 7.3.2, 7.3.3, 7.3.4, 7.3.5, 7.3.6, 7.3.7, 7.3.8, 7.3.9, 7.3.10, 7.3.11, 7.3.12, 7.3.13, 7.3. 14, 7.3.15, 7.3.16, 7.3.17, 7.4.0, 7.4.1, 7.4.2, 7.4.3, 7.4.4, 7.4.5