漏洞信息详情
PEAR Net_Ping 'ping()'参数注入漏洞
- CNNVD编号:CNNVD-200911-290
- 危害等级: 高危
- CVE编号: CVE-2009-4024
- 漏洞类型: 代码注入
- 发布时间: 2009-11-29
- 威胁类型: 远程
- 更新时间: 2011-07-13
- 厂 商: pear
- 漏洞来源: PEAR
漏洞简介
PEAR(全称PHP Extension and Application Repository)是PHP Group负责维护的一个PHP扩展及应用的代码仓库。
PEAR的Net_Ping包2.4.5之前版本中的Ping.php的ping函数中存在参数注入漏洞。远程攻击者可借助host参数执行任意shell命令。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
http://pear.php.net/package/PEAR/
参考网址
来源: VUPEN
名称: ADV-2009-3320
链接:http://www.vupen.com/english/advisories/2009/3320
来源: pear.php.net
链接:http://pear.php.net/package/Net_Ping/download/2.4.5
来源: blog.pear.php.net
链接:http://blog.pear.php.net/2009/11/14/net_traceroute-and-net_ping-security-advisory/
来源: BID
名称: 37093
链接:http://www.securityfocus.com/bid/37093
来源: svn.php.net
链接:http://svn.php.net/viewvc/pear/packages/Net_Ping/trunk/Ping.php?r1=274728&r2=290669&pathrev=290669
来源: SECUNIA
名称: 37451
链接:http://secunia.com/advisories/37451
来源: pear.php.net
链接:http://pear.php.net/advisory20091114-01.txt
受影响实体
- Pear Pear:2.4.4
- Pear Pear:2.4.3
- Pear Pear:2.4.2
- Pear Pear:2.4.1
- Pear Pear:2.4
补丁
暂无
评论