VULHUB ™

Zend Platform是企业级PHP应用的运行时平台环境。 Zend平台所捆绑的会话集群系统中存在多个漏洞，可能导致会话集群守护程序崩溃，会话函数无法工作，被攻击的节点拒绝服务。如果创建了特制的会话ID的话，攻击者还可以在会话集群守护程序的环境中或mod_cluster模块中执行任意代码。 此外磁盘存储模块中还存目录遍历漏洞，导致在硬盘中的任意位置创建和读取会话文件。如果webserver文档根目录中的目录或文件是会话集群守护程序可读的话（默认下以webserver相同的权限运行），就会导致注入任意PHP代码。此外，还可以将用户定义的文件上传到webserver并创建会话标识符，这样就可以将文件中的数据用作会话数据，导致完全控制会话的内容。 Zend Zend Platform &lt;= 2.2 目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本： <a href="http://www.zend.com/downloads" target="_blank">http://www.zend.com/downloads</a>

Zend Platform是企业级PHP应用的运行时平台环境。 Zend平台所捆绑的会话集群系统中存在多个漏洞，可能导致会话集群守护程序崩溃，会话函数无法工作，被攻击的节点拒绝服务。如果创建了特制的会话ID的话，攻击者还可以在会话集群守护程序的环境中或mod_cluster模块中执行任意代码。 此外磁盘存储模块中还存目录遍历漏洞，导致在硬盘中的任意位置创建和读取会话文件。如果webserver文档根目录中的目录或文件是会话集群守护程序可读的话（默认下以webserver相同的权限运行），就会导致注入任意PHP代码。此外，还可以将用户定义的文件上传到webserver并创建会话标识符，这样就可以将文件中的数据用作会话数据，导致完全控制会话的内容。 Zend Zend Platform &lt;= 2.2 目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本： <a href="http://www.zend.com/downloads" target="_blank">http://www.zend.com/downloads</a>