회원가입메일  
   
 
> 취약성 정보
이름 Level 6, 3465 Point innovation 2006-03-30 00:54:55
제목 PHP Html_Entity_Decode() 정보 노출 취약점
click="window.open(this.href);return false;">http://www.securityfocus.com/bid/17296Bugtraq ID:  17296
Class:  Input Validation Error  
CVE:  
Remote:  Yes  
Local:  No  
Published:  Mar 29 2006 12:00AM  
Updated:  Mar 29 2006 07:58PM  
Credit:  Reported by Tõnu Samuel.  
Vulnerable:  PHP PHP 5.1.2
PHP PHP 5.1.1
PHP PHP 5.1
PHP PHP 5.0.5
PHP PHP 5.0.4
PHP PHP 5.0.3
+ Trustix Secure Linux 2.2
PHP PHP 5.0.2
PHP PHP 5.0.1
PHP PHP 5.0 candidate 3
PHP PHP 5.0 candidate 2
PHP PHP 5.0 candidate 1
PHP PHP 5.0 .0
PHP PHP 4.4.2
PHP PHP 4.4.1
PHP PHP 4.4 .0
PHP PHP 4.3.11
PHP PHP 4.3.10
+ Gentoo Linux
+ RedHat Fedora Core3
+ Trustix Secure Enterprise Linux 2.0
+ Trustix Secure Linux 2.2
+ Trustix Secure Linux 2.1
+ Trustix Secure Linux 2.0
+ Trustix Secure Linux 1.5
PHP PHP 4.3.9
PHP PHP 4.3.8
+ MandrakeSoft Linux Mandrake 10.1 x86_64
+ MandrakeSoft Linux Mandrake 10.1
+ S.u.S.E. Linux Personal 9.2
+ Turbolinux Turbolinux Server 10.0
+ Ubuntu Ubuntu Linux 4.1 ppc
+ Ubuntu Ubuntu Linux 4.1 ia64
+ Ubuntu Ubuntu Linux 4.1 ia32
PHP PHP 4.3.7
PHP PHP 4.3.6
PHP PHP 4.3.5
PHP PHP 4.3.4
+ MandrakeSoft Corporate Server 3.0 x86_64
+ MandrakeSoft Corporate Server 3.0
+ MandrakeSoft Linux Mandrake 10.0 AMD64
+ MandrakeSoft Linux Mandrake 10.0
+ S.u.S.E. Linux Personal 9.1
PHP PHP 4.3.3
+ S.u.S.E. Linux Personal 9.0 x86_64
+ S.u.S.E. Linux Personal 9.0
+ Turbolinux Home
+ Turbolinux Turbolinux 10 F...
+ Turbolinux Turbolinux Desktop 10.0
PHP PHP 4.3.2
PHP PHP 4.3.1
+ MandrakeSoft Linux Mandrake 9.1 ppc
+ MandrakeSoft Linux Mandrake 9.1
+ OpenPKG OpenPKG Current
+ S.u.S.E. Linux Personal 8.2
PHP PHP 4.3

Not Vulnerable:  PHP PHP 5.1.3

세부설명
========

PHP 'html_entity_decode()' 함수는 정보-노출 취약점을 가지고 있다. 이 취약점은 함수를 사용하는 스크립트가 원격의 불분명한 공격자로부터의 데이터를 받아들일 때 발생하고 함수의 결과를 공격자에게 돌려준다.

이 취약점을 악용하여 공격자가 얻은 정보는 다른 공격들에 도움을 줄 수 있다.

5.1.3-RC1 이전의 PHP 버전들은 이 문제에 취약하다.

해결책
========

보고서에서는 이 문제가 PHP 5.1.3-RC1에서 수정되었다고 말한다. 이 내용이 시만텍에 의해 확인되진 않았다. 더 많은 정보를 위해서는 벤더에 연락하기 바란다.

레퍼런스
========

PHP CVS Page (PHP)
PHP Homepage (PHP Group)
목록
837 Apple Mac OS X 인텔-기반 로컬 인.. [6]  Level 6, 3465 Point innovation 2006.04.05 3754
836 Barracuda Spam Firewall A.. [3]  Level 5, 3065 Point RiceBox 2006.04.04 3794
835 PHPBB Profile.PHP 크로스-사이트.. [6]  Level 6, 3465 Point innovation 2006.04.03 7085
834 Microsoft 윈도우즈 help 이미지 처.. [2]  Level 1, 95 Point 커베로스 2006.03.31 4253
833 NetBSD If_Bridge(4) Kerne.. [2]  Level 6, 3465 Point innovation 2006.03.31 4244
832 Apple Mac OS X ImageIO 원격.. [3]  Level 4, 1440 Point avy 2006.03.30 4552
831 PHP Html_Entity_Decode() .. [3]  Level 6, 3465 Point innovation 2006.03.30 4660
830 데비안 GNU/Linux 여러 패키지들의 안전.. [2]  Level 6, 3465 Point innovation 2006.03.29 3451
829 Microsoft Office XP Array.. [4]  Level 6, 3465 Point innovation 2006.03.27 3963
828 Internet Security Systems.. [3]  Level 6, 3465 Point innovation 2006.03.25 3771
827 리눅스 커널 Get_Compat_Timespe.. [1]  Level 6, 3465 Point innovation 2006.03.25 3119
826 IBM 티볼리 Business Systems .. [4]  Level 6, 3465 Point innovation 2006.03.24 3568
825 FreeBSD IPsec 재생 취약점 [2]  Level 1, 95 Point 커베로스 2006.03.24 4308
824 EasyMoblog Img.PHP 크로스-사이.. [3]  Level 4, 1440 Point avy 2006.03.23 3569
823 Sendmail Asynchronous Sig.. [1]  Level 5, 3065 Point RiceBox 2006.03.23 6535
822 마이크로소프트 인터넷 익스플로러 CreateT.. [3]  Level 6, 3465 Point innovation 2006.03.23 3531
821 마이크로소프트 ASP.NET COM 컴포넌트 .. [6]  Level 6, 3465 Point innovation 2006.03.23 4294
820 마이크로소프트 인터넷 익스플로러의 명확히 알려.. [6]  Level 6, 3465 Point innovation 2006.03.22 3544
819 Novell SSL 서버의 여러 취약점 [3]  Level 6, 3465 Point innovation 2006.03.22 3548
818 ASP Portal 다양한 SQL 인젝션 취약.. [2]  Level 5, 3065 Point RiceBox 2006.03.22 3683
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14