PHP是一款广泛使用的WEB开发脚本语言。
PHP不正确处理内存限制异常问题,远程攻击者可能利用此漏洞激活register_globals’,可导致进一步对系统进行攻击。
当mb_parse_str()函数仅使用一个参数调用时会内部激活egister_globals,这个激活操作通过直接在内存中操作标记来完成,没有进入帐户memory_limit中断:
if (info->force_register_globals) {
prev_rg_state = PG(register_globals);
PG(register_globals) = 1;
}
如果脚本终止发生直到标记被重设,那么它不会自动恢复,通过触发memory_limit冲突可导致激活不被关闭而导致其他攻击。
PHP PHP 5.2.1
PHP PHP 5.1.6
PHP PHP 5.1.5
PHP PHP 5.1.4
PHP PHP 5.1.3
PHP PHP 5.1.3
PHP PHP 5.1.2
PHP PHP 5.1.1
PHP PHP 5.1
PHP PHP 5.0.5
PHP PHP 5.0.4
PHP PHP 5.0.3
目前没有详细解决方案提供:
<a href=“http://www.php.net/” target=“_blank”>http://www.php.net/</a>
<?php
////////////////////////////////////////////////////////////////////////
// _ _ _