当前位置: 安全纵横 > 安全公告

PHP 多个函数中断处理地址信息泄露漏洞

更新日期:2010-06-01

影响版本:

PHP <= 5.3.2

PHP <= 5.2.13

PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中。

PHP的str_pad()函数、str_word_count()函数、wordwrap()函数、strtok()函数、setcookie()函数、strip_tags()函数、strtr()函数中存在信息泄露漏洞


参考:

Stefan Esser (s.esser@ematters.de

http://php-security.org/2010/05/26/mops-2010-046-php-str_pad-interruption-information-leak-vulnerability/index.html


安恒安全建议:

建议使用明御WEB应用防火墙可以避免此漏洞产生的危害。


临时解决方法:

禁用call time pass by reference功能。


厂商补丁:

http://www.php.net/downloads.php