漏洞信息详情

PHP Sessions子系统会话固定漏洞

• CNNVD编号：CNNVD-201308-193
• 危害等级： 中危
  
• CVE编号： CVE-2011-4718
• 漏洞类型： 权限许可和访问控制
• 发布时间： 2013-08-22
• 威胁类型： 远程
• 更新时间： 2013-08-22
• 厂        商： php
• 漏洞来源：

漏洞简介

PHP（PHP：Hypertext Preprocessor，PHP：超文本预处理器）是PHP Group和开放源代码社区共同维护的一种开源的通用计算机脚本语言。该语言主要用于Web开发，支持多种数据库及操作系统。

PHP 5.5.1及之前的版本中的Sessions子系统中存在会话固定漏洞，该漏洞源于Session模块没有验证会话ID。远程攻击者可通过特制的会话ID利用该漏洞劫持Web会话。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://wiki.php.net/rfc/strict_sessions

参考网址

来源: git.php.net

链接:http://git.php.net/?p=php-src.git;a=commit;h=25e8fcc88fa20dc9d4c47184471003f436927cde

来源: git.php.net

链接:http://git.php.net/?p=php-src.git;a=commit;h=169b78eb79b0e080b67f9798708eb3771c6d0b2f

来源: wiki.php.net

链接:https://wiki.php.net/rfc/strict_sessions

来源: bugs.php.net

链接:https://bugs.php.net/bug.php?id=60491

受影响实体

• Php Php:5.5.0:Rc2  
• Php Php:5.5.0:Beta4  
• Php Php:5.5.0:Rc1  
• Php Php:5.5.0:Beta3  
• Php Php:5.5.0:Beta2  

补丁

暂无