PHP 'stream.c'格式化字符串漏洞
CNNVD-ID编号 | CNNVD-201009-274 | CVE编号 | CVE-2010-2950 |
发布时间 | 2010-09-30 | 更新时间 | 2010-09-30 |
漏洞类型 | 格式化字符串 | 漏洞来源 | N/A |
危险等级 | 中危 | 威胁类型 | 远程 |
厂商 | php |
漏洞介绍
PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中。
PHP 5.3.x至5.3.3 版本中的phar扩展中的stream.c文件存在格式化字符串漏洞。攻击者可以借助不能由phar_stream_flush函数正确处理并导致php_stream_wrapper_log_error函数报错的特制phar://URI获取敏感信息或者可能执行任意代码。
漏洞补丁
目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://lists.opensuse.org/opensuse-security-announce/2010-09/msg00006.html
参考网址
来源: bugzilla.redhat.com
链接:https://bugzilla.redhat.com/show_bug.cgi?id=598537
来源: svn.php.net
链接:http://svn.php.net/viewvc?view=revision&revision=302565
来源: security-tracker.debian.org
链接:http://security-tracker.debian.org/tracker/CVE-2010-2950
来源: php-security.org
受影响实体
Php Php:5.3.2 Php Php:5.3.3 Php Php:5.3.0 Php Php:5.3.1信息来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201009-274

评论