漏洞起因
设计错误
危险等级
中
影响系统
php <= 5.4.3
不受影响系统
危害
远程攻击者可以利用漏洞对服务进程进行拒绝服务攻击。
攻击所需条件
攻击者必须访问PHP PDO应用。
漏洞信息
PDO是一个“数据库访问抽象层”,作用是统一各种数据库的访问接口。
负责解析基于PHP PDO statement对象的状态机(state-machine)存在多个设计错误,这些基于状态机的错误不能持续的检查提供的SQL查询,在特定的环境下,攻击者可以强制响应PDO代码遍历提供查询字符串终止符之外的数据,导致缓冲区越界访问,造成拒绝服务攻击。
测试方法
http://downloads.securityfocus.com/vulnerabilities/exploits/54777.txt
厂商解决方案
目前没有详细解决方案提供:
http://www.php.net/
漏洞提供者
0x721427D8
评论关闭。