PHP msg_receive()内存分配整数溢出漏洞

漏洞信息详情

PHP msg_receive()内存分配整数溢出漏洞

• CNNVD编号：CNNVD-200704-100
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2007-1890
  
• 漏洞类型：
  
  
  边界条件错误
  
• 发布时间：
  
  2007-03-31
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2007-04-10
  
• 厂        商：
  
  php
• 漏洞来源：
  Stefan Esser※ s.es…

PHP是广泛使用的通用目的脚本语言，特别适合于Web开发，可嵌入到HTML中。

PHP的msg_receive()函数实现上存在整数溢出漏洞，本地攻击者可能利用此漏洞提升自己的权限。

PHP的msg_receive()函数没有对maxsize参数执行任何检查便直接在内存分配中使用，导致整数溢出。有漏洞的代码如下：

PHP_FUNCTION(msg_receive)

{

…

if (zend_parse_parameters(ZEND_NUM_ARGS() TSRMLS_CC, \”rlzlz|blz\”,

＆queue, ＆desiredmsgtype, ＆out_msgtype, ＆maxsize,

＆out_message, ＆do_unserialize, ＆flags, ＆zerrcode) == FAILURE) {

return;

}

…

messagebuffer = (struct php_msgbuf *) emalloc(sizeof(struct php_msgbuf) + maxsize);

result = msgrcv(mq-＞id, messagebuffer, maxsize, desiredmsgtype, realflags);

如果内部的msgrcv()函数能够接受负数的maxsize的话，就可能导致缓冲区溢出。

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

http://www.php.net

来源: BID

名称: 23236

链接:http://www.securityfocus.com/bid/23236

来源: MISC

链接:http://www.php-security.org/MOPB/MOPB-43-2007.html