PHP 安全漏洞(CVE-2023-3247)

admin

0
文章

0
评论

2023-11-29 23:05:24 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

低危 PHP 安全漏洞(CVE-2023-3247)

CVE编号

CVE-2023-3247

利用情况

暂无

补丁情况

官方补丁

披露时间

2023-06-14

漏洞描述

PHP版本8.0.*至8.0.29、8.1.20之前、8.2.7之前通过SOAP HTTP Digest认证时，未检查随机值生成器是否失败，并且使用的值范围比应有的窄。如果随机生成器失败，则会导致客户端向服务器披露31位未初始化的内存，并且还会使恶意服务器更容易猜测客户端的nonce值。

解决建议

"将组件 php 升级至 8.1.20 及以上版本""将组件 php 升级至 8.0.29 及以上版本""将组件 php 升级至 8.2.7 及以上版本"

参考链接
https://github.com/php/php-src/security/advisories/GHSA-76gg-c692-v2mw

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	php	php	*	From (including) 8.0.0	Up to (excluding) 8.0.29
	运行在以下环境
	应用	php	php	*	From (including) 8.1.0	Up to (excluding) 8.1.20
	运行在以下环境
	应用	php	php	*	From (including) 8.2.0	Up to (excluding) 8.2.7
	运行在以下环境
	系统	alpine_3.16	php8	*		Up to (excluding) 8.1.22-r0
	运行在以下环境
	系统	alpine_3.17	php81	*		Up to (excluding) 8.1.22-r0
	运行在以下环境
	系统	amazon_2	php	*		Up to (excluding) 8.0.30-1.amzn2
	运行在以下环境
	系统	amazon_2023	php8.1	*		Up to (excluding) 8.1.22-1.amzn2023.0.1
	运行在以下环境
	系统	anolis_os_8	php-mbstring	*		Up to (excluding) 8.0.30-1.0.1
	运行在以下环境
	系统	debian_10	php7.3	*		Up to (excluding) 7.3.31-1~deb10u4
	运行在以下环境
	系统	debian_11	php7.4	*		Up to (excluding) 7.4.33-1+deb11u4
	运行在以下环境
	系统	debian_12	php8.2	*		Up to (excluding) 8.2.7-1~deb12u1
	运行在以下环境
	系统	debian_sid	php8.2	*		Up to (excluding) 8.2.7-1
	运行在以下环境
	系统	opensuse_Leap_15.4	php7-firebird	*		Up to (excluding) 7.4.33-150400.4.25.1
	运行在以下环境
	系统	opensuse_Leap_15.5	php8-mbstring	*		Up to (excluding) 7.4.33-150400.4.25.1
	运行在以下环境
	系统	oracle_8	oraclelinux-release	*		Up to (excluding) 8.0.30-1.module+el8.8.0+21196+6feda386
	运行在以下环境
	系统	oracle_9	oraclelinux-release	*		Up to (excluding) 8.0.30-1.el9_2
	运行在以下环境
	系统	redhat_9	php-xml	*		Up to (excluding) 8.0.30-1.el9_2
	运行在以下环境
	系统	ubuntu_20.04	php7.4	*		Up to (excluding) 7.4.3-4ubuntu2.19
	运行在以下环境
	系统	ubuntu_22.04	php8.1	*		Up to (excluding) 8.1.2-1ubuntu2.13
	运行在以下环境
	系统	ubuntu_22.10	php8.1	*		Up to (excluding) 8.1.7-1ubuntu3.5