Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:N/A:N)
Производитель ПО
Описание
Многопотоковый обработчик php_binary в расширении PHP-сессии не проводит проверку границ и может привести к несанкционированному разглашению информации. Уязвимость эксплуатируется во время извлечения имени переменной из слишком длинного набора сессионных данных формата php_binary. Из-за этого до 126 байт данных из динамической памяти попадают в PHP-переменные.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.php.net/
http://www.php.net/
Ссылки
MILW0RM (3413): http://www.milw0rm.com/exploits/3413
http://www.php-security.org/MOPB/MOPB-10-2007.html
GENTOO (GLSA-200703-21): http://security.gentoo.org/glsa/glsa-200703-21.xml
SUSE (SUSE-SA:2007:020): http://lists.suse.com/archive/suse-security-announce/2007-Mar/0003.html
BID (22805): http://www.securityfocus.com/bid/22805
DEBIAN (DSA-1282): http://www.debian.org/security/2007/dsa-1282
DEBIAN (DSA-1283): http://www.debian.org/security/2007/dsa-1283
UBUNTU (USN-455-1): http://www.ubuntu.com/usn/usn-455-1
http://www.php-security.org/MOPB/MOPB-10-2007.html
GENTOO (GLSA-200703-21): http://security.gentoo.org/glsa/glsa-200703-21.xml
SUSE (SUSE-SA:2007:020): http://lists.suse.com/archive/suse-security-announce/2007-Mar/0003.html
BID (22805): http://www.securityfocus.com/bid/22805
DEBIAN (DSA-1282): http://www.debian.org/security/2007/dsa-1282
DEBIAN (DSA-1283): http://www.debian.org/security/2007/dsa-1283
UBUNTU (USN-455-1): http://www.ubuntu.com/usn/usn-455-1
