PHP ‘asn1_time_to_time_t’函数内存损坏漏洞

漏洞名称：	PHP ‘asn1_time_to_time_t’函数内存损坏漏洞
CNNVD编号：	CNNVD-201312-348
发布时间：	2013-12-18
更新时间：	2013-12-18
危害等级：	高危
漏洞类型：	缓冲区溢出
威胁类型：	远程
CVE编号：	CVE-2013-6420

PHP（PHP：Hypertext Preprocessor，PHP：超文本预处理器）是PHP Group和开放源代码社区共同维护的一种开源的通用计算机脚本语言。该语言支持多重语法、支持多数据库及操作系统和支持C、C++进行程序扩展等。
PHP中的ext/openssl/openssl.c文件中的‘asn1_time_to_time_t’函数中存在内存损坏漏洞，该漏洞源于openssl_x509_parse()函数没有正确解析X.509证书中的notBefore和notAfter时间戳。远程攻击者可借助特制的证书利用该漏洞执行任意代码或造成拒绝服务（应用程序崩溃）。以下版本受到影响：PHP 5.3.28之前的版本，5.4.23之前的5.4.x版本，5.5.7之前的5.5.x版本。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：
http://www.php.net/ChangeLog-5.php

来源: www.sektioneins.de
链接:https://www.sektioneins.de/advisories/advisory-012013-php-openssl_x509_parse-memory-corruption-vulnerability.html

来源: bugzilla.redhat.com
链接:https://bugzilla.redhat.com/show_bug.cgi?id=1036830

来源: www.php.net
链接:http://www.php.net/ChangeLog-5.php

来源: git.php.net
链接:http://git.php.net/?p=php-src.git;a=commit;h=c1224573c773b6845e83505f717fbf820fc18415

来源:SECUNIA
名称:56055
链接:http://secunia.com/advisories/56055

来源:SECUNIA
名称:56070
链接:http://secunia.com/advisories/56070

来源:SECUNIA
名称:56071
链接:http://secunia.com/advisories/56071

posted @ 2013-12-19 00:43 夏虫xm 阅读(566) 评论(0) 编辑收藏举报

会员力量，点亮园子希望

刷新页面返回顶部

漏洞信息库

PHP ‘asn1_time_to_time_t’函数内存损坏漏洞

公告