漏洞信息详情
PHP is_a函数任意代码执行漏洞
- CNNVD编号:CNNVD-201111-128
- 危害等级: 高危
- CVE编号: CVE-2011-3379
- 漏洞类型: 代码注入
- 发布时间: 2011-11-04
- 威胁类型: 远程
- 更新时间: 2011-11-04
- 厂 商: php
- 漏洞来源:
漏洞简介
PHP(PHP:Hypertext Preprocessor,PHP:超文本预处理器)是PHP Group和开放源代码社区共同维护的一种开源的通用计算机脚本语言。该语言主要用于Web开发,支持多种数据库及操作系统。
PHP 5.3.7和5.3.8版本中存在漏洞。由于is_a函数触发__autoload函数调用,远程攻击者可通过提供特制URL,以及可能利用在某些PEAR数据包和客户自动加载程序中的不安全行为执行任意代码。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://svn.php.net/viewvc/?view=revision&revision=317183
参考网址
来源: bugzilla.redhat.com
链接:https://bugzilla.redhat.com/show_bug.cgi?id=741020
来源: bugs.php.net
链接:https://bugs.php.net/bug.php?id=55475
来源: BUGTRAQ
名称: 20110923 Security issue is_a function in PHP 5.3.7+
链接:http://www.securityfocus.com/archive/1/519770/30/0/threaded
来源: www.byte.nl
链接:http://www.byte.nl/blog/2011/09/23/security-bug-in-is_a-function-in-php-5-3-7-5-3-8/
来源: svn.php.net
链接:http://svn.php.net/viewvc/?view=revision&revision=317183
来源:SECUNIA
名称:46292
链接:http://secunia.com/advisories/46292
受影响实体
- Php Php:5.3.8
- Php Php:5.3.7
补丁
- zend_ini_scanner_defs
- zend_ini_scanner
- zend_builtin_functions
- suhosin-patch-5.3.7-0.9.10
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论