PHP SSL 'subjectAltNames'安全绕过漏洞

CVE编号

CVE-2013-4248

利用情况

暂无

补丁情况

官方补丁

披露时间

2013-08-18

漏洞描述

PHP是一种HTML内嵌式的语言。
PHP存在安全绕过漏洞。攻击者可以利用这漏洞来执行中间的袭击或冒充受信任的服务器，这将有助于进一步攻击。

解决建议

用户可联系供应商获得补丁信息：
http://www.php.net/

参考链接
http://git.php.net/?p=php-src.git;a=commit;h=2874696a5a8d46639d261571f915c493cd875897
http://lists.opensuse.org/opensuse-updates/2013-12/msg00125.html
http://lists.opensuse.org/opensuse-updates/2013-12/msg00126.html
http://marc.info/?l=bugtraq&m=141390017113542&w=2
http://rhn.redhat.com/errata/RHSA-2013-1307.html
http://rhn.redhat.com/errata/RHSA-2013-1615.html
http://secunia.com/advisories/54478
http://secunia.com/advisories/54657
http://secunia.com/advisories/55078
http://secunia.com/advisories/59652
http://support.apple.com/kb/HT6150
http://www.debian.org/security/2013/dsa-2742
http://www.php.net/ChangeLog-5.php
http://www.securityfocus.com/bid/61776
http://www.securitytracker.com/id/1028924
http://www.ubuntu.com/usn/USN-1937-1

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	php	php	*		Up to (including) 5.4.17
	运行在以下环境
	应用	php	php	5.0.0	-
	运行在以下环境
	应用	php	php	5.0.1	-
	运行在以下环境
	应用	php	php	5.0.2	-
	运行在以下环境
	应用	php	php	5.0.3	-
	运行在以下环境
	应用	php	php	5.0.4	-
	运行在以下环境
	应用	php	php	5.0.5	-
	运行在以下环境
	应用	php	php	5.1.0	-
	运行在以下环境
	应用	php	php	5.1.1	-
	运行在以下环境
	应用	php	php	5.1.2	-
	运行在以下环境
	应用	php	php	5.1.3	-
	运行在以下环境
	应用	php	php	5.1.4	-
	运行在以下环境
	应用	php	php	5.1.5	-
	运行在以下环境
	应用	php	php	5.1.6	-
	运行在以下环境
	应用	php	php	5.2.0	-
	运行在以下环境
	应用	php	php	5.2.1	-
	运行在以下环境
	应用	php	php	5.2.10	-
	运行在以下环境
	应用	php	php	5.2.11	-
	运行在以下环境
	应用	php	php	5.2.12	-
	运行在以下环境
	应用	php	php	5.2.13	-
	运行在以下环境
	应用	php	php	5.2.14	-
	运行在以下环境
	应用	php	php	5.2.15	-
	运行在以下环境
	应用	php	php	5.2.16	-
	运行在以下环境
	应用	php	php	5.2.17	-
	运行在以下环境
	应用	php	php	5.2.2	-
	运行在以下环境
	应用	php	php	5.2.3	-
	运行在以下环境
	应用	php	php	5.2.4	-
	运行在以下环境
	应用	php	php	5.2.5	-
	运行在以下环境
	应用	php	php	5.2.6	-
	运行在以下环境
	应用	php	php	5.2.7	-
	运行在以下环境
	应用	php	php	5.2.8	-
	运行在以下环境
应用	php	php	5.2.9	-
运行在以下环境
应用	php	php	5.3.0	-
运行在以下环境
应用	php	php	5.3.1	-
运行在以下环境
应用	php	php	5.3.10	-
运行在以下环境
应用	php	php	5.3.11	-
运行在以下环境
应用	php	php	5.3.12	-
运行在以下环境
应用	php	php	5.3.13	-
运行在以下环境
应用	php	php	5.3.14	-
运行在以下环境
应用	php	php	5.3.15	-
运行在以下环境
应用	php	php	5.3.16	-
运行在以下环境
应用	php	php	5.3.17	-
运行在以下环境
应用	php	php	5.3.18	-
运行在以下环境
应用	php	php	5.3.19	-
运行在以下环境
应用	php	php	5.3.2	-
运行在以下环境
应用	php	php	5.3.20	-
运行在以下环境
应用	php	php	5.3.21	-
运行在以下环境
应用	php	php	5.3.22	-
运行在以下环境
应用	php	php	5.3.23	-
运行在以下环境
应用	php	php	5.3.24	-
运行在以下环境
应用	php	php	5.3.25	-
运行在以下环境
应用	php	php	5.3.26	-
运行在以下环境
应用	php	php	5.3.27	-
运行在以下环境
应用	php	php	5.3.3	-
运行在以下环境
应用	php	php	5.3.4	-
运行在以下环境
应用	php	php	5.3.5	-
运行在以下环境
应用	php	php	5.3.6	-
运行在以下环境
应用	php	php	5.3.7	-
运行在以下环境
应用	php	php	5.3.8	-
运行在以下环境
应用	php	php	5.3.9	-
运行在以下环境
应用	php	php	5.4.0	-
运行在以下环境
应用	php	php	5.4.1	-
运行在以下环境
应用	php	php	5.4.10	-
运行在以下环境
应用	php	php	5.4.11	-
运行在以下环境
应用	php	php	5.4.12	-
运行在以下环境
应用	php	php	5.4.13	-
运行在以下环境
应用	php	php	5.4.14	-
运行在以下环境
应用	php	php	5.4.15	-
运行在以下环境
应用	php	php	5.4.16	-
运行在以下环境
应用	php	php	5.4.2	-
运行在以下环境
应用	php	php	5.4.3	-
运行在以下环境
应用	php	php	5.4.4	-
运行在以下环境
应用	php	php	5.4.5	-
运行在以下环境
应用	php	php	5.4.6	-
运行在以下环境
应用	php	php	5.4.7	-
运行在以下环境
应用	php	php	5.4.8	-
运行在以下环境
应用	php	php	5.4.9	-
运行在以下环境
应用	php	php	5.5.0	-
运行在以下环境
应用	php	php	5.5.1	-
运行在以下环境
系统	amazon linux_AMI	php54	*		Up to (excluding) 5.4.19-1.42.amzn1
运行在以下环境
系统	amazon_AMI	php54	*		Up to (excluding) 5.4.19-1.42.amzn1
运行在以下环境
系统	canonical	ubuntu_linux	10.04	-
运行在以下环境
系统	canonical	ubuntu_linux	12.04	-
运行在以下环境
系统	canonical	ubuntu_linux	12.10	-
运行在以下环境
系统	canonical	ubuntu_linux	13.04	-
运行在以下环境
系统	oracle linux_5	php54	*		Up to (excluding) 5.3.3-21.el5
运行在以下环境
系统	oracle linux_6	php54	*		Up to (excluding) 5.3.3-26.el6
运行在以下环境
系统	oracle_5	php54	*		Up to (excluding) 5.3.3-21.el5
运行在以下环境
系统	oracle_6	php54	*		Up to (excluding) 5.3.3-26.el6
运行在以下环境
系统	redhat	enterprise_linux	5	-
运行在以下环境
系统	redhat_5	nspr	*		Up to (excluding) 0:4.9.2-2.el5_9
运行在以下环境
系统	redhat_5	php53	*		Up to (excluding) 0:5.3.3-21.el5
运行在以下环境
系统	redhat_6	php	*		Up to (excluding) 0:5.3.3-26.el6
运行在以下环境
系统	sles_12	apache2-mod_php5	*		Up to (excluding) 5.5.14-4
运行在以下环境
系统	ubuntu_12.04_lts	php5	*		Up to (excluding) 5.3.10-1ubuntu3.8

攻击路径远程
攻击复杂度复杂
权限要求无需权限
影响范围有限影响
EXP成熟度未验证
补丁情况官方补丁
数据保密性数据泄露
数据完整性传输被破坏
服务器危害无影响
全网数量 N/A

CWE-ID 漏洞类型 CWE-20 输入验证不恰当

正文

PHP SSL 'subjectAltNames'安全绕过漏洞

漏洞描述

解决建议

参考链接

受影响软件情况

相关阅读

IBM Jazz Reporting Service-Rational-CLM安全绕过管理任务执行漏洞

IBM Tivoli Federated Identity Manager up to 6.2.2 FP15 跨站脚本攻击

IBM WebSphere MQ Light拒绝服务漏洞

IBM Security Network Protection GSKit信息泄露漏洞

发表评论取消回复

还没有评论，来说两句吧...

目录[+]