發(fā)布日期：2007-11-08

更新日期：2007-11-13

受影響系統(tǒng)：

PHP PHP < 5.2.5

不受影響系統(tǒng)：

PHP PHP 5.2.5

描述：

BUGTRAQ ID: 26403

----CVE(CAN) ID: CVE-2007-4887

PHP是廣泛使用的通用目的腳本語(yǔ)言，特別適合于Web開(kāi)發(fā)，可嵌入到HTML中。

PHP的5.2.5之前版本中存在多個(gè)安全漏洞，具體包括：

1) htmlentities和htmlspecialchars函數(shù)中不會(huì)接受部分多字節(jié)序列；

2) fnmatch()、setlocale()和glob()函數(shù)中存在多個(gè)緩沖器溢出；

3) 處理.htaccess文件中的錯(cuò)誤可能導(dǎo)致通過(guò).htaccess文件修改mail.force_extra_parameters php.ini指令，繞過(guò)disable_functions指令；

4) 處理變量中的錯(cuò)誤可能導(dǎo)致通過(guò)ini_set()函數(shù)覆蓋httpd.conf中所設(shè)置的值。

目前廠(chǎng)商已經(jīng)發(fā)布了升級(jí)補(bǔ)丁以修復(fù)這個(gè)安全問(wèn)題，請(qǐng)到廠(chǎng)商的主頁(yè)下載：http://www.php.net/get/php-5.2.5.tar.bz2/from/a/mirror