發(fā)布日期：2007-11-08

更新日期：2007-11-13

受影響系統(tǒng)：

PHP PHP < 5.2.5

不受影響系統(tǒng)：

PHP PHP 5.2.5

描述：

BUGTRAQ ID: 26403

----CVE(CAN) ID: CVE-2007-4887

PHP是廣泛使用的通用目的腳本語言，特別適合于Web開發(fā)，可嵌入到HTML中。

PHP的5.2.5之前版本中存在多個安全漏洞，具體包括：

1) htmlentities和htmlspecialchars函數(shù)中不會接受部分多字節(jié)序列；

2) fnmatch()、setlocale()和glob()函數(shù)中存在多個緩沖器溢出；

3) 處理.htaccess文件中的錯誤可能導致通過.htaccess文件修改mail.force_extra_parameters php.ini指令，繞過disable_functions指令；

4) 處理變量中的錯誤可能導致通過ini_set()函數(shù)覆蓋httpd.conf中所設置的值。

目前廠商已經發(fā)布了升級補丁以修復這個安全問題，請到廠商的主頁下載：http://www.php.net/get/php-5.2.5.tar.bz2/from/a/mirror