PHP “is_a()”函数远程文件包含漏洞

发布日期:2011-09-23
更新日期:2011-09-23

受影响系统:
PHP PHP 5.3.8
PHP PHP 5.3.7
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 49754

PHP是流行的脚本语言环境。

PHP的"is_a()"函数在实现上存在安全漏洞,远程攻击者可利用此漏洞控制使用受影响函数的PHP应用程序和下层系统。

此漏洞源于"is_a()"函数在接收字符串为首个参数时的更改,可导致意外调用 "__autoload()"函数。在基于PHP之前操作的某些应用程序以及没有正确验证"__autoload()"函数中的输入时,此更改会打开触发意外攻击,导致执行任意PHP代码。

<*来源:Cipriano Groenendal
 
  链接:http://www.byte.nl/blog/2011/09/23/security-bug-in-is_a-function-in-php-5-3-7-5-3-8/
*>

建议:
--------------------------------------------------------------------------------
厂商补丁:

PHP
---
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.php.net

相关推荐