漏洞信息详情

PHP HTMLspecialcharacters()畸形多字节字符跨站脚本漏洞

• CNNVD编号：CNNVD-200912-277
• 危害等级： 中危
  
• CVE编号： CVE-2009-4142
• 漏洞类型： 跨站脚本
• 发布时间： 2009-12-21
• 威胁类型： 远程
• 更新时间： 2009-12-22
• 厂        商： php
• 漏洞来源： Moriyoshi※ hello@i...

漏洞简介

PHP是广泛使用的通用目的脚本语言，特别适合于Web开发，可嵌入到HTML中。

PHP的HTMLspecialchars()函数没有正确地过滤某些多字节字符输入，远程攻击者可以通过提交包含有特殊字符的请求序列执行跨站脚本攻击。

漏洞公告

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

buntu Ubuntu Linux 9.10 sparc

Ubuntu libapache2-mod-php5_5.2.10.dfsg.1-2ubuntu6.4_sparc.deb

http://ports.ubuntu.com/pool/main/p/php5/libapache2-mod-php5_5.2.10.df sg.1-2ubuntu6.4_sparc.deb

Ubuntu libapache2-mod-php5filter_5.2.10.dfsg.1-2ubuntu6.4_sparc.deb

http://ports.ubuntu.com/pool/universe/p/php5/libapache2-mod-php5filter _5.2.10.dfsg.1-2ubuntu6.4_sparc.deb

Ubuntu php-pear_5.2.10.dfsg.1-2ubuntu6.4_all.deb

http://security.ubuntu.com/ubuntu/pool/main/p/php5/php-pear_5.2.10.dfs g.1-2ubuntu6.4_all.deb

Ubuntu php5-cgi_5.2.10.dfsg.1-2ubuntu6.4_sparc.deb

http://ports.ubuntu.com/pool/main/p/php5/php5-cgi_5.2.10.dfsg.1-2ubunt u6.4_sparc.deb

Ubuntu php5-cli_5.2.10.dfsg.1-2ubuntu6.4_sparc.deb

http://ports.ubuntu.com/pool/main/p/php5/php5-cli_5.2.10.dfsg.1-2ubunt u6.4_sparc.deb

Ubuntu php5-common_5.2.10.dfsg.1-2ubuntu6.4_sparc.deb

http://ports.ubuntu.com/pool/main/p/php5/php5-common_5.2.10.dfsg.1-2ub untu6.4_sparc.deb

Ubuntu php5-curl_5.2.10.dfsg.1-2ubuntu6.4_sparc.deb

http://ports.ubuntu.com/pool/main/p/php5/php5-curl_5.2.10.dfsg.1-2ubun tu6.4_sparc.deb

Ubuntu php5-dbg_5.2.10.dfsg.1-2ubuntu6.4_sparc.deb

http://ports.ubuntu.com/pool/main/p/php5/php5-dbg_5.2.10.dfsg.1-2ubunt u6.4_sparc.deb

Ubuntu php5-dev_5.2.10.dfsg.1-2ubuntu6.4_sparc.deb

http://ports.ubuntu.com/pool/main/p/php5/php5-dev_5.2.10.dfsg.1-2ubunt u6.4_sparc.deb

Ubuntu php5-gd_5.2.10.dfsg.1-2ubuntu6.4_sparc.deb

http://ports.ubuntu.com/pool/main/p/php5/php5-gd_5.2.10.dfsg.1-2ubuntu 6.4_sparc.deb

Ubuntu php5-gmp_5.2.10.dfsg.1-2ubuntu6.4_sparc.deb

http://ports.ubuntu.com/pool/main/p/php5/php5-gmp_5.2.10.dfsg.1-2ubunt u6.4_sparc.deb

Ubuntu php5-ldap_5.2.10.dfsg.1-2ubuntu6.4_sparc.deb

http://ports.ubuntu.com/pool/main/p/php5/php5-ldap_5.2.10.dfsg.1-2ubun tu6.4_sparc.deb

Ubuntu php5-mhash_5.2.10.dfsg.1-2ubuntu6.4_sparc.deb

http://ports.ubuntu.com/pool/main/p/php5/php5-mhash_5.2.10.dfsg.1-2ubu ntu6.4_sparc.deb

参考网址

来源: www.php.net

链接:http://www.php.net/ChangeLog-5.php

来源: VUPEN

名称: ADV-2009-3593

链接:http://www.vupen.com/english/advisories/2009/3593

来源: BID

名称: 37389

链接:http://www.securityfocus.com/bid/37389

来源: www.php.net

链接:http://www.php.net/releases/5_2_12.php

来源: SECTRACK

名称: 1023372

链接:http://securitytracker.com/id?1023372

来源: SECUNIA

名称: 37821

链接:http://secunia.com/advisories/37821

来源: bugs.php.net

链接:http://bugs.php.net/bug.php?id=49785

受影响实体

• Php Php:5.0:Rc3  
• Php Php:5.0.0  
• Php Php:5.0.0:Beta1  
• Php Php:4.3.7  
• Php Php:4.3.8  

补丁

暂无