Компрометация системы в PHP

Дата публикации:
16.06.2014
Дата изменения:
16.06.2014
Всего просмотров:
860
Опасность:
Низкая
Наличие исправления:
Инстуркции по устранению
Количество уязвимостей:
1
CVSSv2 рейтинг:
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:W/RC:C) = Base:10/Temporal:8.1
CVE ID:
CVE-2014-4049
Вектор эксплуатации:
Удаленная
Воздействие:
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
PHP 5.3.x
PHP 5.4.x
PHP 5.5.x
Уязвимые версии: PHP 5.3.x, 5.4.x, 5.5.x, возможно более ранние версии

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.

Уязвимость существует из-за ошибки в функции "php_parserr()" в файле ext/standard/dns.c. Удаленный пользователь может с помощью специально сформированных TXT записей ответа на DNS вызвать переполнение буфера памяти.

Для успешной эксплуатации уязвимости может позволить выполнить произвольный код на целевой системе, но требуется обманным способом, например атаки «человек посередине», внедрить произвольные ответные пакеты DNS.

URL производителя: http://www.php.net/

Решение: Исправлено в репозитории.

Ссылки: https://github.com/php/php-src/commit/4f73394fdd95d3165b4391e1b0dedd57fced8c3b

или введите имя

CAPTCHA