JVNDB-2007-000205

JVNDB-2007-000205
PHP の Zend エンジンにおけるサービス運用妨害 (DoS) の脆弱性
概要
PHP の Zend エンジンには、ネストした配列の深さのチェックが不適切であるため、深い再帰呼び出を引き起こすことで PHP がクラッシュする脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)
CVSS v3 による深刻度基本値: 7.5 (重要) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 不要利用者の関与: 不要影響の想定範囲: 変更なし機密性への影響(C): なし完全性への影響(I): なし可用性への影響(A): 高 CVSS v2 による深刻度基本値: 5.0 (警告) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃前の認証要否: 不要機密性への影響(C): なし完全性への影響(I): なし可用性への影響(A): 部分的
影響を受けるシステム

The PHP Group PHP 4.4.6 およびそれ以前 PHP 5.2.1 およびそれ以前サイバートラスト株式会社 Asianux Server 3.0 Asianux Server 3.0 (x86-64) Asianux Server 4.0 Asianux Server 4.0 (x86-64) Asianux Server 2.0 Asianux Server 2.1 ターボリナックス Turbolinux 10_f Turbolinux Appliance Server 1.0 (hosting) Turbolinux Appliance Server 1.0 (workgroup) Turbolinux Appliance Server 2.0 Turbolinux Desktop 10 Turbolinux Multimedia Turbolinux Personal Turbolinux Server 10 Turbolinux Server 10 (x64) Turbolinux Server 8 ターボリナックスホームレッドハット Red Hat Application Stack v1 for Enterprise Linux AS (v.4) Red Hat Application Stack v1 for Enterprise Linux ES (v.4) Red Hat Stronghold for Enterprise Linux Red Hat Enterprise Linux 5 (server) Red Hat Enterprise Linux 2.1 (as) Red Hat Enterprise Linux 3 (as) Red Hat Enterprise Linux 4 (as) Red Hat Enterprise Linux 2.1 (es) Red Hat Enterprise Linux 3 (es) Red Hat Enterprise Linux 4 (es) Red Hat Enterprise Linux 2.1 (ws) Red Hat Enterprise Linux 3 (ws) Red Hat Enterprise Linux 4 (ws) Red Hat Enterprise Linux Desktop 3.0 Red Hat Enterprise Linux Desktop 4.0 Red Hat Linux Advanced Workstation 2.1 RHEL Desktop Workstation 5 (client)

想定される影響
PHP がクラッシュしサービス運用妨害 (DoS) 状態となる可能性があります。
対策
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 PHP Group の情報によると、PHP 5.2.2 で問題が解消されていますが、修正に対する強化が PHP 5.2.4 で行われています。
ベンダ情報
The PHP Group Month of PHP Bugs : MOPB-03-2007 (php-security.org) PHP : ChangeLog-5.2.2 PHP : ChangeLog-5.2.4 PHP : release notes 5.2.2 PHP : release notes 5.2.4 PHP : ChangeLog-4.4.7 PHP : release notes 4.4.7 PHP : ChangeLog-4.4.8 PHP : release notes 4.4.8 サイバートラスト株式会社 MIRACLE LINUX アップデート情報 : php (V3.0/V4.0) MIRACLE LINUX アップデート情報 : php (V2.x) ターボリナックス Turbolinux Security Advisory (英語) : TLSA-2007-29 製品セキュリティ情報 : TLSA-2007-29 レッドハット Red Hat Security Advisory : RHSA-2007:0082 Red Hat Security Advisory : RHSA-2007:0154 Red Hat Security Advisory : RHSA-2007:0155 Red Hat Security Advisory : RHSA-2007:0162 Red Hat Security Advisory : RHSA-2007:0163 レッドハットセキュリティーアップデート : RHSA-2007:0154 レッドハットセキュリティーアップデート : RHSA-2007:0155 レッドハットセキュリティーアップデート : RHSA-2007:0082
CWEによる脆弱性タイプ一覧 CWEとは?
不適切な再帰制御(CWE-674) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2007-1285
参考情報
National Vulnerability Database (NVD) : CVE-2007-1285 SecurityFocus : 22764
更新履歴
[2007年04月23日] 掲載 [2007年05月08日] 影響を受けるシステムを更新しました。ベンダ情報: ミラクル・リナックスの情報を追加しました。ベンダ情報: PHP Group の情報を追加しました。 [2007年05月30日] 影響を受けるシステムを更新しました。ベンダ情報: ミラクル・リナックスの情報を追加しました。 [2007年06月01日] 影響を受けるシステムを更新しました。ベンダ情報: ターボリナックスの情報を追加しました。 [2007年09月06日] ベンダ情報: PHP Group の情報を追加しました。・ChangeLog-5.2.4 ・release notes 5.2.4 [2008年01月18日] ベンダ情報: PHP Group の情報を追加しました。・ChangeLog-4.4.8 ・release notes 4.4.8 [2024年02月27日] CVSS による深刻度：内容を更新 CWE による脆弱性タイプ一覧：内容を更新


公表日	2007/03/06
登録日	2007/04/23
最終更新日	2024/02/27

PHP の Zend エンジンにおけるサービス運用妨害 (DoS) の脆弱性