PHP 5.3.3和5.2.14更新修复多个信息泄露漏洞

受影响系统:

PHP PHP 5.3.x
PHP PHP 5.2.x

不受影响系统:

PHP PHP 5.3.3
PHP PHP 5.2.14

描述:


BUGTRAQ  ID: 41991
CVE(CAN) ID: CVE-2010-2531,CVE-2010-2484

PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中。

即使已经关闭了display_errors, 在出现某些致命错误时PHP的var_export函数仍会将输出缓冲区flush给用户,这允许远程攻击者通过通过导致应用超过内存、执行时间或递归的限制来获取敏感信息。

PHP的strrchr函数允许攻击者通过触发内部函数或处理器的中断来获取敏感信息。

<*来源:Mateusz Kocielsk
        Stefan Esser (s.esser@ematters.de
  
  链接:http://secunia.com/advisories/40268/
        http://secunia.com/advisories/39675/
*>

建议:


厂商补丁:

PHP

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.php.net/get/php-5.2.14.tar.bz2/from/a/mirror
http://www.php.net/get/php-5.3.3.tar.bz2/from/a/mirror