JVNDB-2007-000421

PHP の chunk_split() 関数における整数オーバーフローの脆弱性

PHP の chunk_split() 関数には整数オーバーフローの脆弱性が存在します。本脆弱性の詳細は不明です。

The PHP Group

• PHP 4.4.7 およびそれ以前
• PHP 5.2.3 およびそれ以前

サイバートラスト株式会社

• Asianux Server 2.0 
• Asianux Server 2.1 
• Asianux Server 3.0 
• Asianux Server 3.0 (x86-64) 
• Asianux Server 4.0 
• Asianux Server 4.0 (x86-64) 
• Asianux Server 3 (x86) 
• Asianux Server 3 (x86-64) 

ヒューレット・パッカード

• HP-UX 11.11 
• HP-UX 11.23 
• HP-UX 11.31 

レッドハット

• Red Hat Enterprise Linux 5 (server) 
• Red Hat Enterprise Linux 3 (as) 
• Red Hat Enterprise Linux 4 (as) 
• Red Hat Enterprise Linux 3 (es) 
• Red Hat Enterprise Linux 4 (es) 
• Red Hat Enterprise Linux 3 (ws) 
• Red Hat Enterprise Linux 4 (ws) 
• Red Hat Enterprise Linux 2.1 (as) 
• Red Hat Enterprise Linux 2.1 (es) 
• Red Hat Enterprise Linux 2.1 (ws) 
• Red Hat Enterprise Linux Desktop 3.0 
• Red Hat Enterprise Linux Desktop 4.0 
• Red Hat Linux Advanced Workstation 2.1 
• RHEL Desktop Workstation 5 (client) 

本脆弱性による影響の詳細は不明ですが、第三者により、PHP をサービス運用妨害 (DoS) 状態にされる、または Web サーバの権限で任意のコードを実行される可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

The PHP Group

• PHP : release notes 4.4.8
• PHP : ChangeLog-4.4.8
• PHP : release notes 5.2.4
• PHP : ChangeLog-5.2.4

サイバートラスト株式会社

• Asianux Technical Support Network : php-5.1.6-15.1AX
• MIRACLE LINUX アップデート情報 : php (V2.x/V3.0/V4.0)

ヒューレット・パッカード

• HP Security Bulletin : HPSBUX02262
• HP Security Bulletin : HPSBUX02308
• HP Security Bulletin : HPSBUX02332
• HP セキュリティ報告 : HPSBUX02262
• HP セキュリティ報告 : HPSBUX02308

レッドハット

• Red Hat Security Advisory : RHSA-2007:0889
• Red Hat Security Advisory : RHSA-2007:0890
• Red Hat Security Advisory : RHSA-2007:0888
• レッドハット セキュリティーアップデート : RHSA-2007:0889
• レッドハット セキュリティーアップデート : RHSA-2007:0890
• レッドハット セキュリティーアップデート : RHSA-2007:0888

1. 数値処理の問題(CWE-189) [NVD評価]

1. CVE-2007-2872

1. National Vulnerability Database (NVD) : CVE-2007-2872
2. Secunia Advisory : SA25456
3. SecurityFocus : 24261
4. FrSIRT Advisories : FrSIRT/ADV-2007-2061

• [2007年06月12日]
    掲載
  [2007年09月04日]
    影響を受けるシステム: PHP Group を更新しました。
    ベンダ情報: PHP Group の情報を追加しました。
    ・release notes 5.2.4
    ・ChangeLog-5.2.4
  [2007年10月02日]
    影響を受けるシステム: レッドハットを更新しました。
    ベンダ情報: レッドハットの情報を追加しました。
    ・RHSA-2007:0889
    ・RHSA-2007:0890
  [2007年10月12日]
    影響を受けるシステム：ヒューレット・パッカード (HPSBUX02262) の情報追加。
    ベンダ情報: ヒューレット・パッカード (HPSBUX02262) 追加。
  [2007年10月22日]
    影響を受けるシステム：ミラクル・リナックス (php (V2.x/V3.0/V4.0)) の情報追加。
    ベンダ情報: ミラクル・リナックス (php (V2.x/V3.0/V4.0)) 追加。
  [2007年11月02日]
    影響を受けるシステム：ミラクル・リナックス (php-5.1.6-15.1AX) の情報追加。
    影響を受けるシステム：レッドハット (RHSA-2007:0888) の情報追加。
    ベンダ情報: ミラクル・リナックス (php-5.1.6-15.1AX) 追加。
    ベンダ情報：レッドハット（RHSA-2007:0888）追加。
  [2008年01月18日]
    影響を受けるシステム：PHP Group (release notes 4.4.8) の情報追加。
    ベンダ情報: PHP Group の情報を追加。
    ・ChangeLog-4.4.8
    ・release notes 4.4.8
  [2008年02月12日]
    ベンダ情報: ヒューレット・パッカード (HPSBUX02308) の情報を追加。
  [2008年05月21日]
    ベンダ情報: ヒューレット・パッカード (HPSBUX02332) を追加。