CVE ID: CVE-2010-2100 PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中。 PHP的str_getcsv()函数中存在信息泄露漏洞: PHP_FUNCTION(str_getcsv) { char *str, delim = ',', enc = '"', esc = '\'; char *delim_str = NULL, *enc_str = NULL, *esc_str = NULL; int str_len = 0, delim_len = 0, enc_len = 0, esc_len = 0; if (zend_parse_parameters(ZEND_NUM_ARGS() TSRMLS_CC, "s|sss", &str, &str_len, &delim_str, &delim_len, &enc_str, &enc_len, &esc_str, &esc_len) == FAILURE) { return; } delim = delim_len ? delim_str[0] : delim; enc = enc_len ? enc_str[0] : enc; esc = esc_len ? esc_str[0] : esc; php_fgetcsv(NULL, delim, enc, esc, str_len, str, return_value TSRMLS_CC); } zend_parse_parameters()函数将4个参数拷贝到了本地变量,破坏了这些变量与原始ZVAL之间的联系。问题是字符串指针仍指向与原始字符串ZVAL完全相同的字符串,如果原始字符串ZVAL已被修改,就会导致字符串指针无效,指向已释放的且被重用的内存。此外由于 zend_parse_parameters()支持对象的__toString()方式,只要以str_getcsv()的第二、第三或第四个参数的形式传送对象就可以中断参数解析。由于PHP的call time pass by...
CVE ID: CVE-2010-2100 PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中。 PHP的str_getcsv()函数中存在信息泄露漏洞: PHP_FUNCTION(str_getcsv) { char *str, delim = ',', enc = '"', esc = '\'; char *delim_str = NULL, *enc_str = NULL, *esc_str = NULL; int str_len = 0, delim_len = 0, enc_len = 0, esc_len = 0; if (zend_parse_parameters(ZEND_NUM_ARGS() TSRMLS_CC, "s|sss", &str, &str_len, &delim_str, &delim_len, &enc_str, &enc_len, &esc_str, &esc_len) == FAILURE) { return; } delim = delim_len ? delim_str[0] : delim; enc = enc_len ? enc_str[0] : enc; esc = esc_len ? esc_str[0] : esc; php_fgetcsv(NULL, delim, enc, esc, str_len, str, return_value TSRMLS_CC); } zend_parse_parameters()函数将4个参数拷贝到了本地变量,破坏了这些变量与原始ZVAL之间的联系。问题是字符串指针仍指向与原始字符串ZVAL完全相同的字符串,如果原始字符串ZVAL已被修改,就会导致字符串指针无效,指向已释放的且被重用的内存。此外由于 zend_parse_parameters()支持对象的__toString()方式,只要以str_getcsv()的第二、第三或第四个参数的形式传送对象就可以中断参数解析。由于PHP的call time pass by reference功能,之后攻击者可以从__toString()方式杀死第一个参数并重新用于哈希表。这导致php_fgetcsv()作用于哈希表的内存而不是字符串的内存,攻击者可以泄露重要的内部内存偏移。 PHP <= 5.3.2 PHP <= 5.2.13 临时解决方法: * 禁用call time pass by reference功能。 厂商补丁: PHP --- 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: http://www.php.net
