JVNDB-2002-000272

JVNDB-2002-000272
PHP の mail() 関数における ASCII 制御文字の不適切なフィルタリングの脆弱性
概要
PHP に実装されている mail() 関数に、引数として意図的に ASCII 制御文字を渡された場合に、適切なフィルタリングが行われないことにより、メールヘッダ、及び、メール本文を改ざんすることが可能な脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)
CVSS v2 による深刻度基本値: 5.0 (警告) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃前の認証要否: 不要機密性への影響(C): なし完全性への影響(I): 部分的可用性への影響(A): なし
影響を受けるシステム

The PHP Group PHP 4.2.2 およびそれ以前サン・マイクロシステムズ Sun Cobalt RaQ4 Sun Cobalt RaQ550 Sun Cobalt RaQXTR レッドハット Red Hat Linux 7.0 Red Hat Linux 7.1 Red Hat Linux 7.2 Red Hat Linux 7.3

想定される影響
メールヘッダ、及び、メール本文が改ざんされる可能性があります。
対策
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報
サン・マイクロシステムズ Sun Cobalt RaQ Patches : 4 PHP & PostgreSQL Security Update 2.0.1 Sun Cobalt RaQ Patches : 550 PHP & PostgreSQL Security Update 0.0.1 Sun Cobalt RaQ Patches : XTR PHP & PostgreSQL Security Update 1.0.1 レッドハット Red Hat Security Advisory : RHSA-2002:213 レッドハットセキュリティーアップデート : RHSA-2002:213
CWEによる脆弱性タイプ一覧 CWEとは?
その他(CWE-Other) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2002-0986
参考情報
National Vulnerability Database (NVD) : CVE-2002-0986 SecurityFocus : 5562
更新履歴
[2007年04月01日] 掲載


公表日	2002/11/04
登録日	2007/04/01
最終更新日	2007/04/01

PHP の mail() 関数における ASCII 制御文字の不適切なフィルタリングの脆弱性