JVNDB-2010-001840

JVNDB-2010-001840
PHP の SplObjectStorage における重要な情報を取得される脆弱性
概要
PHP の SplObjectStorage には、unserialize 関数の処理に関して不備があるため、任意のコードを実行される、または重要な情報を取得される脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)
CVSS v2 による深刻度基本値: 7.5 (危険) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃前の認証要否: 不要機密性への影響(C): 部分的完全性への影響(I): 部分的可用性への影響(A): 部分的
影響を受けるシステム

The PHP Group PHP 5.2.13 およびそれ以前 PHP 5.3.2 およびそれ以前アップル Apple Mac OS X v10.6.4 Apple Mac OS X Server v10.6.4 ターボリナックス Turbolinux Appliance Server 2.0 Turbolinux Appliance Server 3.0 Turbolinux Appliance Server 3.0 (x64) Turbolinux Client 2008 Turbolinux Server 10 Turbolinux Server 10 (x64) Turbolinux Server 11 Turbolinux Server 11 (x64)

想定される影響
第三者により、シリアル化されたデータを介して、任意のコードを実行される、または重要な情報を取得される脆弱性が存在します。
対策
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報
The PHP Group Month of PHP Security : MOPS-2010-061 PHP : PHP 5.2.14 Release Announcement PHP : PHP 5.3.3 Release Announcement PHP : PHP ChangeLog Version 5.2.14 PHP : PHP ChangeLog Version 5.3.3 アップル Apple Security Updates : HT4312 Apple セキュリティアップデート : HT4312 ターボリナックス Turbolinux Security Advisory : TLSA-2010-35
CWEによる脆弱性タイプ一覧 CWEとは?
リソース管理の問題(CWE-399) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2010-2225
参考情報
National Vulnerability Database (NVD) : CVE-2010-2225 Secunia Advisory : SA40268 SecurityFocus : 40948 X-Force Security Alerts and Advisories : 59610 VUPEN Security : VUPEN/ADV-2010-1611 VUPEN Security : VUPEN/ADV-2010-1904
更新履歴
[2010年08月18日] 掲載 [2010年09月08日] 影響を受けるシステム：アップル (HT4312) の情報を追加ベンダ情報：アップル (HT4312) を追加 [2010年10月19日] 影響を受けるシステム：ターボリナックス (TLSA-2010-35) の情報を追加ベンダ情報：ターボリナックス (TLSA-2010-35) を追加


公表日	2010/06/24
登録日	2010/08/18
最終更新日	2010/10/19

PHP の SplObjectStorage における重要な情報を取得される脆弱性