漏洞起因
设计错误
危险等级
中
影响系统
PHP 5.3.27
PHP 5.4.17
PHP 5.5.1
不受影响系统
危害
远程攻击者可以利用漏洞通过中间人攻击获取敏感信息。
CVSSv2:
攻击所需条件
攻击者必须访问使用PHP SSL模块的应用。
漏洞信息
PHP是一种HTML内嵌式的语言。
PHP SSL模块不正确处理服务器SSL证书中”subjectAltNames”通用名中的空字节,允许攻击者利用漏洞进行中间人攻击,获取敏感信息。
测试方法
安全建议
厂商解决方案
用户可参考如下厂商提供的安全补丁以修复该漏洞:
http://git.php.net/?p=php-src.git;a=commit;h=dcea4ec698dcae39b7bba6f6aa08933cbfee6755
http://git.php.net/?p=php-src.git;a=commit;h=2874696a5a8d46639d261571f915c493cd875897
http://git.php.net/?p=php-src.git;a=commit;h=2b9f5ac2525118bab372d5fc66eb19cabc46f483
漏洞提供者
vendor
评论关闭。