PHP SSL Module "subjectAltNames"空字节处理安全绕过漏洞
漏洞版本:
PHP 5.3.27 PHP 5.4.17 PHP 5.5.1
漏洞描述:
Bugtraq ID:61776 PHP是一种HTML内嵌式的脚本语言 PHP SSL模块不正确处理服务器SSL证书中"subjectAltNames"通用名中的空字节,允许攻击者利用漏洞进行中间人攻击,获取敏感信息
<* 参考
http://www.secunia.com/advisories/54480/*>
http://git.php.net/?p=php-src.git;a=commit;h=dcea4ec698dcae39b7bba6f6aa08933cbfee6755
http://git.php.net/?p=php-src.git;a=commit;h=2874696a5a8d46639d261571f915c493cd875897
http://git.php.net/?p=php-src.git;a=commit;h=2b9f5ac2525118bab372d5fc66eb19cabc46f483
安全建议:
厂商解决方案 用户可参考如下厂商提供的安全补丁以修复该漏洞: http://git.php.net/?p=php-src.git;a=commit;h=dcea4ec698dcae39b7bba6f6aa08933cbfee6755 http://git.php.net/?p=php-src.git;a=commit;h=2874696a5a8d46639d261571f915c493cd875897 http://git.php.net/?p=php-src.git;a=commit;h=2b9f5ac2525118bab372d5fc66eb19cabc46f483