Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv. Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.
Produkty:
Domů
Pro malé podniky
Pro střední podniky
Pro velké podniky
Zranitelnosti Hrozby
Úvod Zranitelnosti

Více zranitelností v PHP

Kaspersky ID:
KLA10746
Detekováno:
08/22/1970
Aktualizováno:
12/29/2017

Popis

V PHP bylo nalezeno několik závažných chyb. Škodí uživatelé mohou tyto chyby zabezpečení zneužít, způsobit odmítnutí služby, ovlivnit libovolné soubory, spustit libovolný kód nebo získat citlivé informace.

Níže je uveden úplný seznam chyb zabezpečení

  1. Vícenásobné celočíselné přepady mohou být vzdáleně využívány k tomu, aby způsobily odmítnutí služby prostřednictvím speciálně vytvořeného řetězce;
  2. Neznámá zranitelnost může být vzdáleně využívána prostřednictvím speciálně navrženého volání funkce imagerotate pro získání citlivých informací nebo způsobení odmítnutí služby;
  3. Chyba formátování řetězců na Zend může být vzdáleně využívána prostřednictvím speciálně vytvořeného řetězce pro spuštění libovolného kódu;
  4. Bezplatné využívání služby Collator může být vzdáleně využíváno k odmítnutí služby.
  5. Nesprávné řízení záhlaví na mýdle lze vzdáleně využít pomocí speciálně navržených dat k provedení libovolného kódu;
  6. Adresář trasování v aplikaci PharData lze vzdáleně využít k ovlivňování místních souborů pomocí speciálně vytvořeného archivu ZIP;
  7. Více použití po použití na SPL lze vzdáleně využít pomocí speciálně navržených dat k provedení libovolného kódu;
  8. Neznámá zranitelnost může být vzdáleně využívána k provedení libovolného kódu;
  9. Přetečení vyrovnávací paměti lze vzdáleně využít pomocí speciálně navržené cesty k souboru, což způsobí odmítnutí služby.

Technické údaje

Chyba zabezpečení (1) související s ext / standard / exec.c a lze jej využít pomocí dlouhého řetězce na php_escape_shell_cmd nebo php_escape_shell_arg .

Zranitelnost (2) spojené s funkcí gdImageRotateInterpolated v ext / GD / libgd / gd_interpolation.c a může být využit pomocí velkého bgd_color argument funkce.

Zranitelnost (3) vztahující se k zend_throw_or_error funkci Zend / zend_execute_API.c a může být využita prostřednictvím specifikátorů formátu řetězce v řetězci, který je používán jako název třídy, což vede k nesprávnému zacházení s chybami.

Chyba zabezpečení (4) související s funkcemi Collator :: sortWithSortKeys v ext / intl / collator / collator_sort.c a lze je využít využitím vztahů mezi vyrovnávací pamětí klíčů a zničeným polem.

Chyba zabezpečení (5) související s metodou SoapClient __call v ext / soap / soap.c a může být využita prostřednictvím serializovaných dat, které vyvolávají "typ zmatek" ve funkci serialize_function_call .

Chyba zabezpečení (6) lze zneužít prostřednictvím položky ZIP archivu, který je během extrahování nesprávně zpracován.

Chyby (7) spojené s SPL unserialize provádění v EXT / SPL / spl_array.c, které lze využít pomocí serializované dat, která spouští zneužití pole pole a také v souvislosti s deserializace nesprávnou manipulací při ArrayObject, SplObjectStorage a SplDoublyLinkedList.

Chyba zabezpečení (8) související s funkcí php_str_replace_in_subject v ext / standard / string.c a může být využita třetím argumentem funkce str_ireplace .

Chyba zabezpečení (9) související s funkcí phar_fix_filepath v ext / phar / phar.c a může být využita pomocí velkých hodnot délky.

Oficiální doporučení

Související produkty

seznam CVE

Zobrazit více

Zjistěte statistiky zranitelností šířících se ve vaší oblasti statistics.securelist.com

Našli jste v popisu této chyby zabezpečení nepřesnost? Dej nám vědět!
Kaspersky Premium
Zjistěte více
Kaspersky Next
Let’s go Next: redefine your business’s cybersecurity
Zjistěte více
Related articles
23 October 2023
Kaspersky Daily
Vulnerability in Confluence Data Center and Confluence Server | Kaspersky official blog
18 April 2024
Securelist
DuneQuixote campaign targets Middle Eastern entities with “CR4T” malware
17 April 2024
Securelist
SoumniBot: the new Android banker’s unique techniques
15 April 2024
Securelist
Using the LockBit builder to generate targeted ransomware
12 April 2024
Securelist
XZ backdoor story – Initial analysis
28 March 2024
Securelist
DinodasRAT Linux implant targeting entities worldwide
Našli jste v popisu této chyby zabezpečení nepřesnost?
Pokud jste našli novou hrozbu nebo zranitelnost, dejte nám prosím vědět e-mailem:
newvirus@kaspersky.com
Našli jste novou hrozbu nebo zranitelnost?
Pokud jste našli novou hrozbu nebo zranitelnost, dejte nám prosím vědět e-mailem:
newvirus@kaspersky.com
Produkty
Domů
Pro malé podniky
Pro střední podniky
Pro velké podniky
Select language
Sorting
Kaspersky ID
Zranitelnost
Detect date
Míra zranitelnosti
Confirm changes?
Your message has been sent successfully.