受影响系统:
PHP PHP 5.5.x
PHP PHP 5.4.x
PHP PHP 5.3.x
描述:
--------------------------------------------------------------------------------
CVE(CAN) ID: CVE-2014-4049
PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中。
PHP在"php_parserr()"函数(ext/standard/dns.c)的实现中存在错误,恶意用户通过特制的DNS TXT记录响应,利用此漏洞可造成堆缓冲区溢出。成功利用后可导致任意代码执行。要利用此漏洞需要通过中间人攻击注入任意DNS响应数据包。
<*来源:vendor
链接:http://secunia.com/advisories/58683/
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
PHP
---
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.php.net/downloads.php
https://github.com/php/php-src/commit/4f73394fdd95d3165b4391e1b0dedd57fced8c3b