漏洞信息详情
PHP dl 函数拒绝服务漏洞
- CNNVD编号:CNNVD-200709-176
- 危害等级: 中危
- CVE编号: CVE-2007-4887
- 漏洞类型: 输入验证
- 发布时间: 2007-09-13
- 威胁类型: 远程
- 更新时间: 2009-03-04
- 厂 商: php
- 漏洞来源: Rasmus Lerdorflaur...
漏洞简介
PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中。
PHP的5.2.5之前版本中存在多个安全漏洞,具体包括:
1) HTMLentities和HTMLspecialchars函数中不会接受部分多字节序列;
2) fnmatch()、setlocale()和glob()函数中存在多个缓冲区溢出;
3) 处理.htaccess文件中的错误可能导致通过.htaccess文件修改mail.force_extra_parameters php.ini指令,绕过disable_functions指令;
4) 处理变量中的错误可能导致通过ini_set()函数覆盖httpd.conf中所设置的值。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.php.net/get/php-5.2.5.tar.bz2/from/a/mirror
参考网址
来源: BUGTRAQ
名称: 20070910 /* PHP <=5.2.4 open_basedir="" bypass="" &="" code="" exec="" &="" denial="" of="" service="" errata="" ...="" working="" on="" windows="" too="" ..="">
链接:http://www.securityfocus.com/archive/1/archive/1/478988/100/0/threaded
来源: BUGTRAQ
名称: 20070910 PHP <=5.2.4 open_basedir="" bypass="" &="" code="" exec="" &="" denial="" of="">
链接:http://www.securityfocus.com/archive/1/archive/1/478985/100/0/threaded
来源: wiki.rpath.com
链接:http://wiki.rpath.com/wiki/Advisories:rPSA-2007-0242
来源: OVAL
名称: oval:org.mitre.oval:def:5767
链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:5767
来源: issues.rpath.com
链接:https://issues.rpath.com/browse/RPL-1943
来源: BID
名称: 26403
链接:http://www.securityfocus.com/bid/26403
来源: HP
名称: HPSBUX02332
链接:http://www.securityfocus.com/archive/1/archive/1/491693/100/0/threaded
来源: www.php.net
链接:http://www.php.net/releases/5_2_5.php
来源: www.php.net
链接:http://www.php.net/ChangeLog-5.php#5.2.5
来源: GENTOO
名称: GLSA-200710-02
链接:http://www.gentoo.org/security/en/glsa/glsa-200710-02.xml
来源: VUPEN
名称: ADV-2008-0924
链接:http://www.frsirt.com/english/advisories/2008/0924/references
来源: VUPEN
名称: ADV-2008-0398
链接:http://www.frsirt.com/english/advisories/2008/0398
来源: VUPEN
名称: ADV-2007-3825
链接:http://www.frsirt.com/english/advisories/2007/3825
来源: SREASON
名称: 3133
链接:http://securityreason.com/securityalert/3133
来源: SECUNIA
名称: 30040
链接:http://secunia.com/advisories/30040
来源: SECUNIA
名称: 29420
链接:http://secunia.com/advisories/29420
来源: SECUNIA
名称: 28750
链接:http://secunia.com/advisories/28750
来源: SECUNIA
名称: 27659
链接:http://secunia.com/advisories/27659
来源: SECUNIA
名称: 27102
链接:http://secunia.com/advisories/27102
来源: CMS.zone.ci/e/tags/htag.php?tag=Apple target=_blank class=infotextkey>Apple
名称: CMS.zone.ci/e/tags/htag.php?tag=Apple target=_blank class=infotextkey>Apple-SA-2008-03-18
链接:http://lists.CMS.zone.ci/e/tags/htag.php?tag=Apple target=_blank class=infotextkey>Apple.com/archives/security-announce/2008/Mar/msg00001.HTML
来源: HP
名称: HPSBUX02308
链接:http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01345501
来源: docs.info.CMS.zone.ci/e/tags/htag.php?tag=Apple target=_blank class=infotextkey>Apple.com
链接:http://docs.info.CMS.zone.ci/e/tags/htag.php?tag=Apple target=_blank class=infotextkey>Apple.com/article.HTML?artnum=307562
受影响实体
- Php Php:5.2.4
补丁
暂无
评论