| CNNVD-ID编号 | CNNVD-201009-274 |
| CVE编号 | CVE-2010-2950 |
| 发布时间 | 2010-09-30 |
| 更新时间 | 2010-09-30 |
| 漏洞类型 | 格式化字符串 |
| 漏洞来源 | N/A |
| 危险等级 | 中危 |
| 威胁类型 | 远程 |
| 厂 商 | php |
PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中。
PHP 5.3.x至5.3.3 版本中的phar扩展中的stream.c文件存在格式化字符串漏洞。攻击者可以借助不能由phar_stream_flush函数正确处理并导致php_stream_wrapper_log_error函数报错的特制phar://URI获取敏感信息或者可能执行任意代码。
目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://lists.opensuse.org/opensuse-security-announce/2010-09/msg00006.html
来源: bugzilla.redhat.com
来源: svn.php.net
来源: security-tracker.debian.org
来源: php-security.org