PHP ‘asn1_time_to_time_t’函数内存损坏漏洞

漏洞名称: PHP ‘asn1_time_to_time_t’函数内存损坏漏洞
CNNVD编号: CNNVD-201312-348
发布时间: 2013-12-18
更新时间: 2013-12-18
危害等级: 高危  高危
漏洞类型: 缓冲区溢出
威胁类型: 远程
CVE编号: CVE-2013-6420

PHP(PHP:Hypertext Preprocessor,PHP:超文本预处理器)是PHP Group和开放源代码社区共同维护的一种开源的通用计算机脚本语言。该语言支持多重语法、支持多数据库及操作系统和支持C、C++进行程序扩展等。 
        PHP中的ext/openssl/openssl.c文件中的‘asn1_time_to_time_t’函数中存在内存损坏漏洞,该漏洞源于openssl_x509_parse()函数没有正确解析X.509证书中的notBefore和notAfter时间戳。远程攻击者可借助特制的证书利用该漏洞执行任意代码或造成拒绝服务(应用程序崩溃)。以下版本受到影响:PHP 5.3.28之前的版本,5.4.23之前的5.4.x版本,5.5.7之前的5.5.x版本。

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接: 
        http://www.php.net/ChangeLog-5.php

posted @ 2013-12-19 00:43  夏虫xm  阅读(572)  评论(0编辑  收藏  举报