公開日:2002/11/19 最終更新日:2002/11/19

JVNCA-2002-05
PHP に複数の脆弱性

概要

Web サーバで広く利用されているスクリプト言語 PHP には複数の脆弱性があります。
最も深刻な脆弱性については、遠隔から任意のコードを実行される可能性があります。

影響を受けるシステム

詳細情報

想定される影響

サービス運用妨害 (denial-of-service, DoS) 攻撃を受けたり、遠隔から第三者が PHP プロセスの権限で任意のコードを実行する可能性があります。

対策方法

ベンダ情報

ベンダ リンク
Apache Software Foundation http://www.php.net/
Debian php -- 境界チェックのバグ、そのほか
富士通 CA-2002-05に対する富士通の情報
富士通 CA-2002-05に対するSolaris OEの情報
Hewlett-Packard PHPパッケージにおけるセキュリティ脆弱性
Red Hat PHP パッケージのアップデート
Turbolinux Japan php: buffer overflowによるroot権限奪取

参考情報

  1. CERT Vulnerability Note VU#297363
    PHP contains vulnerability in "php_mime_split" function allowing arbitrary code execution
  2. CIAC Bulletin M-049
    Multiple PHP Vulnerabilities
  3. Internet Security Systems
    PHP における複数の脆弱点:リモートからセキュリティを侵害するエクスプロイトが流通
  4. ISS X-Force Database: php-file-upload-overflow (8281)
    PHP multiple HTTP POST file upload overflows
  5. ラック
    CERT Advisory CA-2002-05 Multiple Vulnerabilities in PHP fileupload [翻訳版]

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT JPCERT-WR-2002-0901
JPCERT/CC REPORT 2002-03-06
CERT Advisory CERT Advisory CA-2002-05
Multiple Vulnerabilities in PHP fileupload
CPNI Advisory
TRnotes
CVE CVE-2002-0081
VU#297363,XF8281
JVN iPedia