我现在有运行PHP 5.2.13 Web服务器,最近被告知:PHP 5.2 vulnerablilities
简介:
远程Web服务器使用PHP的版本是由 多重影响缺陷。
说明:
根据它的旗帜,安装 远程主机上的PHP 5.2的版本比5.2.15以上。这些版本可能受 几个安全问题:
在zip提取方法崩溃。
imap扩展名中可能存在双重空白。 (CVE-2010-4150)
'open_basedir'中存在未指定的缺陷。 (CVE-2010-3436)
'mssql_fetch_batch()'中可能会发生崩溃。
'ZipArchive :: getArchiveComment'中存在NULL指针取消引用。 (CVE-2010-3709)
如果消除锯齿步骤无效,则会发生崩溃。 (Bug#53492)
pdo_firebird getAttribute()中存在崩溃。 (错误53323)
在Zend引擎的用户释放后漏洞时 一个 '_ 集()', ' _get()', '_ isset()函数' 或“ _unset( )' 方法被调用可以允许拒绝服务 攻击。 (Bug#52879/CVE-2010-4697)
GD扩展中的 'imagepstext()'函数中存在基于堆栈的缓冲区溢出。 (错误53492/CVE-2010-4698)
处理无效的XML-RPC时出现错误 请求可能导致NULL指针解除引用 。 (bug#51288)(CVE-2010-0397)
函数'fnmatch'中存在一个错误,可能导致 堆栈耗尽。
sqlite扩展中存在一个错误,它可能允许 允许任意内存访问。
函数 'substr_replace'中存在内存损坏错误。
以下功能没有妥善保护 对功能中断:
addcslashes,chunk_split,html_entity_decode, iconv_mime_decode,iconv_substr,iconv_mime_encode, ヶ辆,用htmlspecialchars,str_getcsv, http_build_query,strpbrk,的strstr ,str_pad, str_word_count,wordwrap,strtok,setcookie, strip_tags,trim,ltrim,rtrim,parse_str,pack,unpack, uasort,preg_match,strrchr,strchr,substr,str_repeat CVE-2010-2190,CVE-2010-2190,CVE-2010-2190,CVE-2010-1192, 2191,CVE-2010年至2484年)
- 下面的操作码没有妥善保护 对功能中断:
ZEND_CONCAT,ZEND_ASSIGN_CONCAT,ZEND_FETCH_RW (CVE-2010至2191年)
默认会话串行器包含错误 ,可以在分配具有用户定义名称的会话 变量时利用该错误。任意 序列化的值可以通过 注入会话中,包括变量名称中的PS_UNDEF_MARKER,'!',字符 。
函数 'spl_object_storage_attach'中存在使用后释放错误。 (CVE-2010年至2225年)
我不使用大量的这些例如mssql_fetch_batch(),pdo_firebird getAttribute ...
基本上我很想知道这是否是所有主要问题?
感谢,
错过了ZEND_CONCAT问题... @Andrew无误:定期更新。 – dianovich 2011-03-15 15:08:44