PHP “php_parserr()”缓冲区溢出漏洞

发布日期：2014-06-16
更新日期：2014-06-17

受影响系统：
PHP PHP 5.5.x
 PHP PHP 5.4.x
 PHP PHP 5.3.x
描述：
--------------------------------------------------------------------------------
CVE(CAN) ID: CVE-2014-4049
 
PHP是广泛使用的通用目的脚本语言，特别适合于Web开发，可嵌入到HTML中。
 
PHP在"php_parserr()"函数(ext/standard/dns.c)的实现中存在错误，恶意用户通过特制的DNS TXT记录响应，利用此漏洞可造成堆缓冲区溢出。成功利用后可导致任意代码执行。要利用此漏洞需要通过中间人攻击注入任意DNS响应数据包。
 
<*来源：vendor
 
  链接：http://secunia.com/advisories/58683/
 *>

建议：
--------------------------------------------------------------------------------
厂商补丁：
 
PHP
 ---
 目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
 
http://www.php.net/downloads.php
 https://github.com/php/php-src/commit/4f73394fdd95d3165b4391e1b0dedd57fced8c3b

PHP 的详细介绍：请点这里
PHP 的下载地址：请点这里