ZeroBox Vulnerability Database

漏洞发布时间:2013-01-20
漏洞更新时间:2013-01-20

漏洞起因
设计错误
危险等级
中

影响系统
PHP 5.3.9 – 5.3.13

不受影响系统

危害
远程攻击者可以利用漏洞获得敏感内存信息。

攻击所需条件
攻击者必须访问PHP应用。

漏洞信息
PHP是一款流行的网络编程语言。
PHP ext/openssl/openssl.c提供的openssl_encrypt函数没有正确初始化某些变量，允许攻击者提供零字节输入数据获得进程内存敏感信息。

测试方法

厂商解决方案
用户可参考如下厂商提供的安全公告获得补丁信息：
http://git.php.net/?p=php-src.git;a=commitdiff;h=270a406ac94b5fc5cc9ef59fc61e3b4b95648a3e

漏洞提供者
ab@php.net