PHP 多个函数中断处理地址信息泄露漏洞
来源:岁月联盟
时间:2010-06-01
影响版本:
PHP <= 5.3.2
PHP <= 5.2.13
漏洞描述:
CVE ID: CVE-2010-2101
CVE ID: CVE-2010-2100
PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中。
PHP的str_pad()函数、str_word_count()函数、wordwrap()函数、strtok()函数、setcookie()函数、strip_tags()函数、strtr()函数中存在信息泄露漏洞
<*参考
Stefan Esser (s.esser@ematters.de)
http://php-security.org/2010/05/26/mops-2010-046-php-str_pad-interruption-information-leak-vulnerability/index.html
*>
安全建议:
临时解决方法:
* 禁用call time pass by reference功能。
厂商补丁:
PHP
---
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.php.net
