让您全面了解并上手亿速云产品
常见入门级使用教程
对外 API 开发文档中心
您历史提交的工单
您的每一条意见,我们都严谨处理
您的每一条建议,我们都认真对待
CNNVD-ID编号 | CNNVD-200603-486 | CVE编号 | CVE-2006-1490 |
发布时间 | 2006-03-29 | 更新时间 | 2006-03-30 |
漏洞类型 | 输入验证 | 漏洞来源 | Stefan Esser s.esser@ematters.de Tõnu_Samuel tonu@jes.ee |
危险等级 | 中危 | 威胁类型 | 远程 |
厂商 | php |
PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中。
PHP的html_entity_decode函数中存在输入验证错误。如果使用该函数的脚本接收了远程不可信任来源的输入的话,就会返回函数的结果,导致内存泄露。
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.php.net
来源: US-CERT
名称: TA06-333A
来源: MISC 接:http://cvs.php.net/viewcvs.cgi/php-src/ext/standard/html.c?r1=1.112&r2=1.113
来源: BUGTRAQ
名称: 20060328 Critical PHP bug - act ASAP if you are running web with sensitive data
链接:http://www.securityfocus.com/archive/1/archive/1/429164/100/0/threaded
来源: BUGTRAQ
名称: 20060328 Re: [Full-disclosure] Critical PHP bug - act ASAP if you are running web with sensitive data
链接:http://www.securityfocus.com/archive/1/archive/1/429162/100/0/threaded
来源: MISC
链接:http://cvs.php.net/viewcvs.cgi/php-src/ext/standard/html.c?view=log
来源: bugs.gentoo.org
来源: XF
名称: php-htmlentitydecode-information-disclosure(25508)
来源: UBUNTU
名称: USN-320-1
来源: TRUSTIX
名称: 2006-0020
来源: BID
名称: 17296
来源: SUSE
名称: SUSE-SA:2006:024
链接:http://www.novell.com/linux/security/advisories/05-05-2006.html
来源: MANDRIVA
名称: MDKSA-2006:063
链接:http://www.mandriva.com/security/advisories?name=MDKSA-2006:063
来源: VUPEN
名称: ADV-2006-4750
来源: VUPEN
名称: ADV-2006-2685
来源: VUPEN
名称: ADV-2006-1149
来源: support.avaya.com
链接:http://support.avaya.com/elmodocs2/security/ASA-2006-129.htm
来源: GENTOO
名称: GLSA-200605-08
来源: SECUNIA
名称: 23155
来源: SECUNIA
名称: 21125
来源: SECUNIA
名称: 20951
来源: SECUNIA
名称: 20210
来源: SECUNIA
名称: 20052
来源: SECUNIA
名称: 19979
来源: SECUNIA
名称: 19832
来源: SECUNIA
名称: 19570
来源: SECUNIA
名称: 19499
来源: SECUNIA
名称: 19383
来源: REDHAT
名称: RHSA-2006:0276
来源: APPLE
名称: APPLE-SA-2006-11-28
链接:http://lists.apple.com/archives/security-announce/2006/Nov/msg00001.html
来源: MANDRIVA
名称: MDKSA-2006:063
链接:http://frontal2.mandriva.com/security/advisories?name=MDKSA-2006:063
来源: docs.info.apple.com