>
PHP CGI组件缓冲区溢出漏洞
PHP CGI组件缓冲区溢出漏洞
| CNNVD-ID编号 | CNNVD-201501-059 | CVE编号 | CVE-2014-9427 |
| 发布时间 | 2015-01-06 | 更新时间 | 2015-01-08 |
| 漏洞类型 | 缓冲区溢出 | 漏洞来源 | N/A |
| 危险等级 | 高危 | 威胁类型 | 远程 |
| 厂商 | php | ||
漏洞介绍
PHP(PHP:Hypertext Preprocessor,PHP:超文本预处理器)是PHP Group和开放源代码社区共同维护的一种开源的通用计算机脚本语言。该语言主要用于Web开发,支持多种数据库及操作系统。
PHP的CGI组件中的sapi/cgi/cgi_main.c文件中存在安全漏洞,该漏洞源于程序使用mmap读取.php文件时,处理无效文件时没有正确验证映射的长度。远程攻击者可通过上传.php文件利用该漏洞获取php-cgi进程内存中的敏感信息;通过将有效的PHP脚本放置在与映射邻近的内存位置利用该漏洞执行任意代码。以下版本受到影响:PHP 5.4.36及之前版本,5.5.x版本至5.5.20版本,5.6.x版本至5.6.4版本。
漏洞补丁
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://bugs.php.net/bug.php?id=68618
参考网址
来源:git.php.net
链接:http://git.php.net/?p=php-src.git;a=commit;h=f9ad3086693fce680fbe246e4a45aa92edd2ac35
来源:MLIST
链接:http://openwall.com/lists/oss-security/2015/01/01/1
来源:MLIST
链接:http://openwall.com/lists/oss-security/2014/12/31/6
受影响实体
Php Php:1.0 Php Php:2.0 Php Php:5.6.0:Alpha3 Php Php:5.6.0:Alpha4 Php Php:5.6.0:Alpha5信息来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201501-059
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论