Vendor Status Note JVNCIAC-O-184

PHP に含まれる複数の脆弱性

概要

PHP には、メモリ制限の扱いに脆弱性があります。また HTML タグ名にヌル文字 '\0' が含まれている場合に適切にタグを処理できない脆弱性があります。

影響を受けるシステム
 - PHP 4.3.7 およびそれ以前の 4.x
 - PHP 5.0.0RC3 およびそれ以前の 5.x

想定される影響

遠隔から第三者が Web サーバを実行しているユーザの権限を取得したり、クロスサイトスクリプティング攻撃を行なったりする可能性があります。

ベンダ情報

ベンダリンク更新日
DebianDebian セキュリティ警告 DSA-531
php4 -- 複数の欠陥
The PHP GroupPHP: Hypertext Preprocessor
Red Hatセキュリティアドバイス RHSA-2004:392
Updated php packages fix security issues
セキュリティアドバイス RHSA-2004:395
Updated php packages fix security issues
ミラクル・リナックス2004年7月21日PHP のリモートから任意のコードを実行できる脆弱性を修正
参考情報

  1. ISS X-Force Database: php-memorylimit-code-execution(16693)
    PHP memory_limit code execution
  2. ISS X-Force Database: php-strip-tag-bypass(16692)
    PHP HTML tags may bypass strip_tag function in Microsoft Internet Explorer and Safari
JPCERT 緊急報告
JPCERT REPORTJPCERT-WR-2004-2901 ( 2004-07-28 )
CIAC BulletinO-184 PHP memory_limit and strip_tags Vulnerabilities ( 2004-07-19 )
CVE2004-0594 [CVE+] XF16693
2004-0595 [CVE+] XF16692
PGP署名JVNCIAC-O-184.html.sig
登録日18:29 2004/08/01
更新日14:32 2004/10/31

Copyright(C) 2002-2009 Keio Univ. All rights reserved.