漏洞信息详情
PHP phar扩展phar_object.c多个格式化字符串漏洞
- CNNVD编号:CNNVD-201103-220
- 危害等级: 高危
- CVE编号: CVE-2011-1153
- 漏洞类型: 格式化字符串
- 发布时间: 2011-03-17
- 威胁类型: 远程
- 更新时间: 2011-03-17
- 厂 商: php
- 漏洞来源:
漏洞简介
PHP(PHP:Hypertext Preprocessor,PHP:超文本预处理器)是PHP Group和开放源代码社区共同维护的一种开源的通用计算机脚本语言。该语言主要用于Web开发,支持多种数据库及操作系统。
PHP 5.3.5及之前版本的phar扩展中的phar_object.c中存在多个格式化字符串漏洞。上下文攻击者可以借助向某个类函数传递的参数中的字符串标识符,从进程内存中获取敏感信息,导致拒绝服务(内存破坏),或者可能执行任意代码。该漏洞导致zend_throw_exception_ex的不正确调用。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://svn.php.net/viewvc?view=revision&revision=309221
参考网址
来源: XF
名称: php-pharobject-format-string(66079)
链接:http://xforce.iss.net/xforce/xfdb/66079
来源: BID
名称: 46854
链接:http://www.securityfocus.com/bid/46854
来源: svn.php.net
链接:http://svn.php.net/viewvc?view=revision&revision=309221
来源: SECUNIA
名称: 43744
链接:http://secunia.com/advisories/43744
来源: MLIST
名称: [oss-security] 20110314 Re: CVE request: format-string vulnerability in PHP Phar extension
链接:http://openwall.com/lists/oss-security/2011/03/14/24
来源: MLIST
名称: [oss-security] 20110314 Re: CVE request: format-string vulnerability in PHP Phar extension
链接:http://openwall.com/lists/oss-security/2011/03/14/14
来源: MLIST
名称: [oss-security] 20110314 CVE request: format-string vulnerability in PHP Phar extension
链接:http://openwall.com/lists/oss-security/2011/03/14/13
来源: bugs.php.net
链接:http://bugs.php.net/bug.php?id=54247
受影响实体
- Php Php:4.3.10
- Php Php:4.3.1
- Php Php:4.3.2
- Php Php:4.3.11
- Php Php:4.3.4
补丁
暂无
评论