PHP “is_a()”函数远程文件包含漏洞

发布日期：2011-09-23
更新日期：2011-09-23

受影响系统：
PHP PHP 5.3.8
PHP PHP 5.3.7
描述：
--------------------------------------------------------------------------------
BUGTRAQ  ID: 49754

PHP是流行的脚本语言环境。

PHP的"is_a()"函数在实现上存在安全漏洞，远程攻击者可利用此漏洞控制使用受影响函数的PHP应用程序和下层系统。

此漏洞源于"is_a()"函数在接收字符串为首个参数时的更改，可导致意外调用 "__autoload()"函数。在基于PHP之前操作的某些应用程序以及没有正确验证"__autoload()"函数中的输入时，此更改会打开触发意外攻击，导致执行任意PHP代码。

<*来源：Cipriano Groenendal
 
  链接：http://www.byte.nl/blog/2011/09/23/security-bug-in-is_a-function-in-php-5-3-7-5-3-8/
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

PHP
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.php.net