漏洞信息详情
PHP HTMLspecialcharacters()畸形多字节字符跨站脚本漏洞
- CNNVD编号:CNNVD-200912-277
- 危害等级: 中危
- CVE编号: CVE-2009-4142
- 漏洞类型: 跨站脚本
- 发布时间: 2009-12-21
- 威胁类型: 远程
- 更新时间: 2009-12-22
- 厂 商: php
- 漏洞来源: Moriyoshi※ hello@i...
漏洞简介
PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中。
PHP的HTMLspecialchars()函数没有正确地过滤某些多字节字符输入,远程攻击者可以通过提交包含有特殊字符的请求序列执行跨站脚本攻击。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
buntu Ubuntu Linux 9.10 sparc
Ubuntu libapache2-mod-php5_5.2.10.dfsg.1-2ubuntu6.4_sparc.deb
http://ports.ubuntu.com/pool/main/p/php5/libapache2-mod-php5_5.2.10.df sg.1-2ubuntu6.4_sparc.deb
Ubuntu libapache2-mod-php5filter_5.2.10.dfsg.1-2ubuntu6.4_sparc.deb
http://ports.ubuntu.com/pool/universe/p/php5/libapache2-mod-php5filter _5.2.10.dfsg.1-2ubuntu6.4_sparc.deb
Ubuntu php-pear_5.2.10.dfsg.1-2ubuntu6.4_all.deb
http://security.ubuntu.com/ubuntu/pool/main/p/php5/php-pear_5.2.10.dfs g.1-2ubuntu6.4_all.deb
Ubuntu php5-cgi_5.2.10.dfsg.1-2ubuntu6.4_sparc.deb
http://ports.ubuntu.com/pool/main/p/php5/php5-cgi_5.2.10.dfsg.1-2ubunt u6.4_sparc.deb
Ubuntu php5-cli_5.2.10.dfsg.1-2ubuntu6.4_sparc.deb
http://ports.ubuntu.com/pool/main/p/php5/php5-cli_5.2.10.dfsg.1-2ubunt u6.4_sparc.deb
Ubuntu php5-common_5.2.10.dfsg.1-2ubuntu6.4_sparc.deb
http://ports.ubuntu.com/pool/main/p/php5/php5-common_5.2.10.dfsg.1-2ub untu6.4_sparc.deb
Ubuntu php5-curl_5.2.10.dfsg.1-2ubuntu6.4_sparc.deb
http://ports.ubuntu.com/pool/main/p/php5/php5-curl_5.2.10.dfsg.1-2ubun tu6.4_sparc.deb
Ubuntu php5-dbg_5.2.10.dfsg.1-2ubuntu6.4_sparc.deb
http://ports.ubuntu.com/pool/main/p/php5/php5-dbg_5.2.10.dfsg.1-2ubunt u6.4_sparc.deb
Ubuntu php5-dev_5.2.10.dfsg.1-2ubuntu6.4_sparc.deb
http://ports.ubuntu.com/pool/main/p/php5/php5-dev_5.2.10.dfsg.1-2ubunt u6.4_sparc.deb
Ubuntu php5-gd_5.2.10.dfsg.1-2ubuntu6.4_sparc.deb
http://ports.ubuntu.com/pool/main/p/php5/php5-gd_5.2.10.dfsg.1-2ubuntu 6.4_sparc.deb
Ubuntu php5-gmp_5.2.10.dfsg.1-2ubuntu6.4_sparc.deb
http://ports.ubuntu.com/pool/main/p/php5/php5-gmp_5.2.10.dfsg.1-2ubunt u6.4_sparc.deb
Ubuntu php5-ldap_5.2.10.dfsg.1-2ubuntu6.4_sparc.deb
http://ports.ubuntu.com/pool/main/p/php5/php5-ldap_5.2.10.dfsg.1-2ubun tu6.4_sparc.deb
Ubuntu php5-mhash_5.2.10.dfsg.1-2ubuntu6.4_sparc.deb
http://ports.ubuntu.com/pool/main/p/php5/php5-mhash_5.2.10.dfsg.1-2ubu ntu6.4_sparc.deb
参考网址
来源: www.php.net
链接:http://www.php.net/ChangeLog-5.php
来源: VUPEN
名称: ADV-2009-3593
链接:http://www.vupen.com/english/advisories/2009/3593
来源: BID
名称: 37389
链接:http://www.securityfocus.com/bid/37389
来源: www.php.net
链接:http://www.php.net/releases/5_2_12.php
来源: SECTRACK
名称: 1023372
链接:http://securitytracker.com/id?1023372
来源: SECUNIA
名称: 37821
链接:http://secunia.com/advisories/37821
来源: bugs.php.net
链接:http://bugs.php.net/bug.php?id=49785
受影响实体
- Php Php:5.0:Rc3
- Php Php:5.0.0
- Php Php:5.0.0:Beta1
- Php Php:4.3.7
- Php Php:4.3.8
补丁
暂无
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论