PHP Filter_Var函数FILTER_VALIDATE_EMAIL注入换行漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1191062 漏洞类型 输入验证
发布时间 2007-04-07 更新时间 2007-10-09
CVE编号 CVE-2007-1900 CNNVD-ID CNNVD-200704-148
漏洞平台 N/A CVSS评分 5.0
|漏洞来源
https://www.securityfocus.com/bid/23359
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200704-148
|漏洞详情
PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中。PHP的ext/filter扩展在使用正则表达式库时存在漏洞,远程攻击者可能利用此漏洞输入恶意邮件。PHP的ext/filter扩展内部对正则表达式使用了PCRE库。在FILTER_VALIDATE_EMAIL过滤器中没有使用"D"修饰符,而如果PCRE正则表达式中没有使用"D"修饰符的话,"$"的意思就不是"标题的末尾",而是"标题的末尾或接近带有单个换行符的末尾",这样恶意用户就可以在邮件头中注入换行符。
|受影响的产品
Ubuntu Ubuntu Linux 7.04 sparc Ubuntu Ubuntu Linux 7.04 powerpc Ubuntu Ubuntu Linux 7.04 i386 Ubuntu Ubuntu Linux 7.04 amd64 Ubuntu Ubuntu Linux 6.10 sparc Ubuntu Ubuntu
|参考资料

来源:BID
名称:23359
链接:http://www.securityfocus.com/bid/23359
来源:MISC
链接:http://www.php-security.org/MOPB/PMOPB-45-2007.html
来源:SECUNIA
名称:24824
链接:http://secunia.com/advisories/24824
来源:OVAL
名称:oval:org.mitre.oval:def:6067
链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:6067
来源:FEDORA
名称:FEDORA-2007-2215
链接:https://www.redhat.com/archives/fedora-package-announce/2007-September/msg00397.html
来源:XF
名称:php-filtervalidateemail-header-injection(33510)
链接:http://xforce.iss.net/xforce/xfdb/33510
来源:UBUNTU
名称:USN-455-1
链接:http://www.ubuntu.com/usn/usn-455-1
来源:TRUSTIX
名称:2007-0023
链接:http://www.trustix.org/errata/2007/0023/
来源:www.php.net
链接:http://www.php.net/releases/5_2_3.php
来源:OSVDB
名称:33962
链接:http://www.osvdb.org/33962
来源:SUSE
名称:SUSE-SA:2007:032
链接:http://www.novell.com/linux/security/advisories/2007_32_php.html
来源:GENTOO
名称:GLSA-200710-02
链接:http://www.gentoo.org/security/en/glsa/glsa-200710-02.xml
来源:VUPEN
名称:ADV-2007-3386
链接:http://www.frsirt.com/english/adv