更新日 : 2007/03/31 15:00
CVSS v210
CVSS v3-
【PHP の stripos() 関数におけるメモリアクセス違反が発生する脆弱性】
2007年3月31日にPHPの脆弱性情報が公開されました。
対応が必要か検討してください。
企業:The PHP Group
CVSS v3
参考:CVSSの深刻度レベル
https://jvndb.jvn.jp/ja/contents/2006/JVNDB-2006-000506.html
CVE CVE-2006-4485
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4485
NVD CVE-2006-4485
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2006-4485
SECUNIA SA21546
http://secunia.com/advisories/21546/
BID 19582
http://www.securityfocus.com/bid/19582
2007/03/31 15:00:00
最終更新日
2007/03/31 15:00:00
もっと見る >>
対応が必要か検討してください。
脆弱性情報の概要
------------
本脆弱性情報は、同時期に公開された複数の脆弱性について、まとめて解説したものです。タイトル以外の他の脆弱性情報の内容が含まれていますので予めご了承ください。
------------
PHP には以下の複数のセキュリティ上の問題が存在します。
・file_exists()、imap_open()、imap_reopen() 関数において、safe_mode および open_basedir による制限を回避可能な問題 (PHP 4.4.3/5.1.4 以前、CVE-2006-1017, CVE-2006-4481)
・64 bit システムにおいて、str_repeat() および wordwrap() 関数でバッファオーバーフローが発生する問題 (PHP 4.4.3/5.1.4 以前、CVE-2006-4482)
・GD 拡張機能において、不正な GIF 画像を処理した場合にバッファオーバーフローが発生する問題 (PHP 4.4.3/5.1.4 以前、CVE-2006-4484)
・stripos() 関数において、メモリアクセス違反が発生する問題 (PHP 5.1.4 以前、CVE-2006-4485)
・64 bit システムにおいて、memory_limit による制限が回避される問題 (PHP 4.4.3/5.1.5 以前、CVE-2006-4486)
問題の詳細は公開されていませんが、ローカルの攻撃者に悪用された場合、本来 PHP スクリプトによるアクセスが制限されるファイルにアクセスされたり、PHP アプリケーションがクラッシュしたりする可能性があります。さらには、Web サーバの実行権限で任意のコードが実行される可能性があります。対象製品
製品:PHP企業:The PHP Group
深刻度(CVSS)
CVSS v210
-
参考:CVSSの深刻度レベル
スコア | CVSS v2 | CVSS v3 |
9.0~10.0 | 危険 | 緊急 |
7.0~8.9 | 危険 | 重要 |
4.0~6.9 | 警告 | 警告 |
0.1~3.9 | 注意 | 注意 |
0 | 注意 | なし |
リンク情報
JVN JVNDB-2006-000506https://jvndb.jvn.jp/ja/contents/2006/JVNDB-2006-000506.html
CVE CVE-2006-4485
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4485
NVD CVE-2006-4485
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2006-4485
SECUNIA SA21546
http://secunia.com/advisories/21546/
BID 19582
http://www.securityfocus.com/bid/19582
日付情報
登録日2007/03/31 15:00:00
最終更新日
2007/03/31 15:00:00
「PHP」に関する直近の脆弱性情報
更新日 : 2024/06/13 00:49
The PHP Group の PHP 等複数ベンダの製品における観測可能な不一致に関する脆弱性
更新日 : 2024/06/13 00:49
The PHP Group の PHP 等複数ベンダの製品におけるデータの信頼性についての不十分な検証に関する脆弱性
更新日 : 2024/06/13 00:49
The PHP Group の PHP 等複数ベンダの製品におけるエンコードおよびエスケープに関する脆弱性
更新日 : 2024/06/11 04:50
The PHP Group の PHP における OS コマンドインジェクションの脆弱性
更新日 : 2024/06/04 09:00
The PHP Group の PHP における脆弱性
更新日 : 2024/05/23 03:32
PHP Man Page Lookup 1.2.0 における絶対パストラバーサルの脆弱性
更新日 : 2024/03/05 06:58
PHP の memory_limit ディレクティブの処理における任意のコードを実行される脆弱性
更新日 : 2024/03/05 06:29
PHP における multipart/form-data POST リクエストの処理に関するサービス運用妨害 (DoS) の脆弱性
更新日 : 2024/03/04 01:12
PHP の rand() 関数および mt_rand() 関数におけるブルートフォース攻撃される脆弱性
更新日 : 2024/03/01 05:36
PHP の mail() 関数 における任意のコマンドを実行される脆弱性