網管注意 PHP 5.2.5之前版本多個安全漏洞

發布日期：2007-11-08

更新日期：2007-11-13

受影響系統：

PHP PHP < 5.2.5

不受影響系統：

PHP PHP 5.2.5

描述：

BUGTRAQ ID: 26403

----CVE(CAN) ID: CVE-2007-4887

PHP是廣泛使用的通用目的腳本語言，特別適合于Web開發，可嵌入到HTML中。

PHP的5.2.5之前版本中存在多個安全漏洞，具體包括：

1) htmlentities和htmlspecialchars函數中不會接受部分多字節序列；

2) fnmatch()、setlocale()和glob()函數中存在多個緩沖器溢出；

3) 處理.htaccess文件中的錯誤可能導致通過.htaccess文件修改mail.force_extra_parameters php.ini指令，繞過disable_functions指令；

4) 處理變量中的錯誤可能導致通過ini_set()函數覆蓋httpd.conf中所設置的值。

目前廠商已經發布了升級補丁以修復這個安全問題，請到廠商的主頁下載：http://www.php.net/get/php-5.2.5.tar.bz2/from/a/mirror