漏洞信息详情
PHP LCG不充分熵漏洞
- CNNVD编号:CNNVD-201003-415 <!--
- 危害等级: 中危-->
- 危害等级: 中危
- CVE编号: CVE-2010-1128
- 漏洞类型: 加密问题
- 发布时间: 2010-02-26
- 威胁类型: 远程
- 更新时间: 2010-03-29
- 厂 商: php
- 漏洞来源: samy kamkar
-
漏洞简介
PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中。
PHP的LCG(线性同余生成器)所生成的随机会话ID或随机数随机性不够强,初始种子可能由64位降低为35位,通过执行PHP代码还可以进一步降低为20位,这就大大的降低了确定伪随机数序列的复杂度,用户可以相对容易的窃取会话ID或其他敏感信息。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.php.net/releases/5_2_13.php
参考网址
来源: VUPEN
名称: ADV-2010-0479
链接:http://www.vupen.com/english/advisories/2010/0479
来源: BID
名称: 38430
链接:http://www.securityfocus.com/bid/38430
来源: CONFIRM
名称: http://www.php.net/releases/5_2_13.php
链接:http://www.php.net/releases/5_2_13.php
来源: CONFIRM
名称: http://www.php.net/ChangeLog-5.php
链接:http://www.php.net/ChangeLog-5.php
来源: SECUNIA
名称: 38708
链接:http://secunia.com/advisories/38708
来源:NSFOCUS 名称:14557 链接:http://www.nsfocus.net/vulndb/14557
受影响实体
- Php Php:5.2.0<!--2000-1-1-->
- Php Php:5.2.2<!--2000-1-1-->
- Php Php:5.2.4<!--2000-1-1-->
- Php Php:5.2.3<!--2000-1-1-->
- Php Php:5.2.5<!--2000-1-1-->
补丁
- php-5.2.13.tar.gz<!---->
- php-5.2.13-nts-Win32.zip<!---->
- php-5.2.13.tar.bz2<!---->
- php-debug-pack-5.2.13-Win32.zip<!---->
- php-5.2.13-win32-installer.msi<!---->
还没有评论,来说两句吧...