公開日:2002/11/12 最終更新日:2002/11/12

JVNCA-2002-21
PHP のファイルアップロード処理に脆弱性

概要


PHP バージョン 4.2.0 および 4.2.1 には、multipart/form-dataによるファイルアップロードをする POST リクエストの処理に脆弱性があります。
脆弱性については、遠隔から任意のコードを実行される可能性があります。

影響を受けるシステム

詳細情報

想定される影響


サービス運用妨害 (denial-of-service, DoS) 攻撃を受けたり、遠隔から第三者が PHP プロセスの権限で任意のコードを実行する可能性があります。

対策方法

ベンダ情報

ベンダ リンク
Apache Software Foundation
富士通 CA-2002-21に対する富士通の情報
富士通 CA-2002-21に対するSolaris OEの情報
Hewlett-Packard HP Apache Server PHPにおけるセキュリティ脆弱性

参考情報

  1. CERT Vulnerability Note VU#929115
    PHP fails to properly parse the headers of HTTP POST requests
  2. CIAC Bulletin M-108
    Vulnerability in HP Apache Server PHP
  3. V-STAF: php-multipart-handler-bo (9635)
    PHP multipart/form-data POSTハンドラにバッファオーバフロー
  4. LAC
    CERT Advisory CA-2002-21 Vulnerability in PHP [翻訳版]

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT JPCERT-WR-2002-2901
JPCERT/CC REPORT 2002-07-31
CERT Advisory CERT Advisory CA-2002-21
Vulnerability in PHP
CPNI Advisory
TRnotes
CVE CAN-2002-0717
VU#929115,XF9635
JVN iPedia