Wojciech Purczynski har opdaget er det er muligt for scripts at overføre vilkårlig tekst til sendmail som en kommandolinieudvidelse, når man sender en e-mail gennem PHP, også selvom safe_mode ("sikker tilstand") er slået til. Overførslen af det femte parameter burde være slået fra når PHP er opsat til at køre i safe_mode, hvilket er tilfældet for nyere PHP-versioner og for versionerne nævnt nedenfor. Dette påvirker dog ikke PHP3.
Wojciech Purczynski opdagede også at vilkårlige ASCII-kontroltegn kan indsættes i mail()-funktionens strengparametre. Hvis mail()-parametre kommer fra brugerens uddata, kan det give brugeren mulighed for at ændre på indholdet af meddelelsen, blandt andre header-linierne.
Ulf Härnhammar har opdaget af file() og fopen() er sårbare overfor CRLF-indsættelse. En angriber kan bruge det til at omgå visse restriktioner og tilføje vilkårlig tekst til hvad der ser ud som HTTP-forespørgsler, der slippes igennem.
Dette sker dog kun hvis noget overføres til disse funktioner, noget der hverken er et gyldigt filnavn eller en gyldig URL. Enhver streng som indeholder kontroltegn kan ikke være en gyldig URL. Før man overfører en streng, som skulle være en URL, til en hvilken som helst funktion, skal man først anvende urlencode() for at indkapsle det pågældende.
Tre problemer er blevet identificeret i PHP:
Disse problemer er rettet i PHP3 version 3.0.18-23.1woody1 og PHP4 4.1.2-5 i den aktuelle stabile distribution (woody), i PHP3 version 3.0.18-0potato1.2 og PHP4 4.0.3pl1-0potato4 i den gamle stabile distribution (potato) og i PHP3 version 3.0.18-23.2 og PHP4 4.2.3-3 i den ustabile distribution (sid).
Vi anbefaler at du opgraderer dine PHP-pakker.
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.