漏洞信息详情

PHP dba_replace函数 输入验证漏洞

• CNNVD编号：CNNVD-200908-387
• 危害等级： 低危
  
• CVE编号： CVE-2008-7068
• 漏洞类型： 输入验证
• 发布时间： 2009-08-25
• 威胁类型： 远程
• 更新时间： 2009-08-25
• 厂        商： php
• 漏洞来源：

漏洞简介

PHP 5.2.6和4.x版本中的dba_replace函数允许见机行事的攻击者借助一个带有空二进制的key，引起拒绝服务攻击(文件截断)。

漏洞公告

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接： http://cvs.php.net/viewvc.cgi/php-src/ext/dba/libinifile/inifile.c?r1=1.14.2.1.2.4&r2=1.14.2.1.2.5

参考网址

来源: XF 名称: php-dbareplace-file-corruption(47316) 链接:http://xforce.iss.net/xforce/xfdb/47316 来源: BUGTRAQ 名称: 20081127 SecurityReason : PHP 5.2.6 dba_replace() destroying file 链接:http://www.securityfocus.com/archive/1/archive/1/498746/100/0/threaded 来源: BUGTRAQ 名称: 20081206 Re: SecurityReason : PHP 5.2.6 dba_replace() destroying file 链接:http://www.securityfocus.com/archive/1/498982/100/0/threaded 来源: BUGTRAQ 名称: 20081206 Re: SecurityReason : PHP 5.2.6 dba_replace() destroying file 链接:http://www.securityfocus.com/archive/1/498981/100/0/threaded 来源: OSVDB 名称: 52206 链接:http://www.osvdb.org/52206 来源: SREASONRES 名称: 20081127 PHP 5.2.6 dba_replace() destroying file 链接:http://securityreason.com/achievement_securityalert/58 来源: cvs.php.net 链接:http://cvs.php.net/viewvc.cgi/php-src/NEWS?r1=1.2027.2.547.2.1313&r2=1.2027.2.547.2.1314&

受影响实体

• Php Php:4.0:Rc2  
• Php Php:4.0.0  
• Php Php:4.0:Beta_4_patch1  
• Php Php:4.0:Rc1  
• Php Php:4.0:Beta3  

补丁

暂无