Расширенный

Уязвимость при обработке целочисленных типов

Уязвимость при обработке целочисленных типов

19 июля 2012
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
PHP (4.4.0, 4.4.6)
php (Unknown)
Описание
Целочисленное переполнение в PHP позволяет злоумышленникам, действующим удаленно, выполнить произвольный код, если передать длинную строку функции unserialize, что приводит к переполнению в счетчике ссылок ZVAL.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.php.net/
Ссылки
Источни: CVE
Наименование: CVE-2007-1286
URL: CVE (CVE-2007-1286): http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1286

BID (22765): http://www.securityfocus.com/bid/22765
CVSS: http://nvd.nist.gov/cvss.cfm?vector=(AV:R/AC:H/Au:NR/C:P/I:P/A:P/B:N)
OSVDB (32771): http://www.osvdb.org/32771
XF (php-zval-code-execution(32796)): http://xforce.iss.net/xforce/xfdb/32796