php zend引擎漏洞,PHP Zend引擎释放后重用堆破坏漏洞(CVE-2010-4697)

于 2021-04-08 18:22:46 发布
阅读量169 收藏
点赞数
文章标签: php zend引擎漏洞

发布日期:2010-12-08

更新日期:2012-04-12

受影响系统:

PHP PHP 5.3.x

PHP PHP 5.2.x

不受影响系统:

PHP PHP 5.3.4

PHP PHP 5.2.15

描述:

--------------------------------------------------------------------------------

BUGTRAQ  ID: 45952

CVE ID: CVE-2010-4697

PHP是一种HTML内嵌式的语言,PHP与微软的ASP颇有几分相似,都是一种在服务器端执行的嵌入HTML文档的脚本语言,语言的风格有类似于C语言,现在被很多的网站编程人员广泛的运用。

PHP 5.2.15之前版本和5.3.4之前版本的Zend引擎中存在释放后重用漏洞,通过引用所访问对象上的use of __set, __get, __isset和__unset方法,攻击者可造成拒绝服务或其他攻击。

*>

建议:

--------------------------------------------------------------------------------

厂商补丁:

PHP

---

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

0b1331709591d260c1c78e86d0c51c18.png

weixin_39797393
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Zend Framework远程执行代码漏洞
小小猪的博客
11-12 897
Zend Framework远程执行代码漏洞 框架描述: Zend Framework (ZF)是Zend公司推出的一套PHP开发框架。是用 PHP 5 来开发 web程序和服务的开源框架。ZF 用 100% 面向对象编码实现。 ZF 的组件结构独一无二,每个组件几乎不依靠其他组件。这样的松耦合结构可以让开发者独立使用组件。 我们常称此为 “use-at-will”设计。 漏洞描述: Zend Framework远程执行代码漏洞源于Stream类的析构函数,这是一个PHP魔术方法。在面向对象编程中,
zend及Slim 漏洞合集
小小猪的博客
08-19 707
zend漏洞 zend framework文件读取漏洞分析 Zend Framework 1.11.13、1.12.0之前版本内的(1) Zend_Dom, (2) Zend_Feed, (3) Zend_Soap没有正确处理SimpleXMLElement类,这使得远程攻击者可利用XML-RPC请求中DOCTYPE元素内的外部实体引用(external entity reference)注入攻击,从而读取任意文件或创建TCP连接。 poc: <?xml version="1.0"?>.
PHP弱类型引发的漏洞实例
LYinG7的博客
09-14 662
我们知道PHP 是一门弱类型语言,不必向 PHP 声明该变量的数据类型,PHP 会根据变量的值,自动把变量的值转换为正确的数据类型,但在这个转换过程中就有可能引发一些安全问题。 类型转换 1、会先进行类型转换,再进行对比 2、会先比较类型,如果类型不同直接返回false,参考如下 注意: 1 . 当一个字符串被当作一个数值来取值,其结果和类型如下:如果该字符串没有包含’.',’e',...
Magento新的ZEND FRAMEWORK安全漏洞
Pedrito666的博客
10-12 298
Magento原厂近日发布了一个与Zend Framework 1和2的Email元件相关的安全性漏洞。包括Magento 1.x和Magento 2.x在内的许多PHP解决方案都使用了这个元件。如果您的服务器使用Sendmail作为邮件传输代理的话,这个严重的漏洞可导致恶意的黑客使用远端代码执行攻击。 要保护您的网站免受此漏洞的影响,您应该立即检查邮件发送设定。请到您的Magento商店后台修...
Zend架构最新漏洞修复程序,mg版本1.5-1.7适用
至善 至美
07-17 764
Index: lib/Zend/XmlRpc/Response.php =================================================================== --- lib/Zend/XmlRpc/Response.php (revision 157103) +++ lib/Zend/XmlRpc/Response.php (working cop
方卡在线php程序漏洞,php zend framework 的一些功能说明
weixin_30430677的博客
03-13 214
现在的zf最新版本是ZendFramework-1.12(现在最新的已经到2了),下载后重新对里面的功能做了一些简单的分析,希望和大家一起学习进步.1)tests文件夹里面对我们怎样使用zend framework内核提供了很好的例子,也给出了如何测试zf的方法2)demos里面提供了实际的功能例子,对我们的实际开发有很好的参考作用3)dojo是非常适合放到后台管理使用,但功能太强大,学习起来比较...
php任意代码执行漏洞浅析
Hydra的博客
11-20 6933
漏洞成因  当应用在调用一些能将字符转化为代码的函数(如PHP中的eval,assert)时,没有考虑用户是否能控制这个字符串,这就会造成代码执行漏洞。 常见函数 php:eval,assert python:exec 区别 eval与assert区别 eval函数中参数是字符,如: eval('echo 1;'); assert函数中参数为表达式 (或者为函数),如: ...
python的序列化和反序列化_浅析Python 序列化与反序列化
weixin_39902085的博客
12-11 154
序列化是将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态(存在内存中)写入到临时或持久性存储区(硬盘)。以后,可以通过从存储区中读取或反序列化对象的状态,重新创建该对象。实现对象的序列化和反序列化在python中有两种方式:json 和 pickle。其中json用于字符串 和 python数据类型间进行转换,pickle用于python特有的类型 和 python...
服务器系统及软件常见漏洞
runfeel
07-10 1912
最近由有一个什么事情,大家都懂。上头发了个加密传真,要求加强网络安全检查,于是乎所有服务器进行了大扫描,现整理一些常见漏洞... 漏洞名称 允许Traceroute探测 远端WWW服务支持TRACE请求 远端WWW服务提供了对WebDAV的支持 远端WEB服务器上存在/robots.txt文件 远端VNC服务正在运行 远端HTTP服务器类型和...
关于php-5.2.x和php-5.3.x hash dos 漏洞攻击与修复
梁凉凉的专栏
02-27 1532
起因:   Wed, 28 Dec 2011 22:28:16 GMT apache tomcat公布了一个安全漏洞。   http://mail-archives.apache.org/mod_mbox/www-announce/201112.mbox/%3C4EFB9800.5010106@apache.org%3E   漏洞原理:   依靠相应语言的hashtable/hashmap
ssm_018_mysql_多平台大学生创新团队管理系统_.zip
08-08
大学生作为社会向前发展的源动力,必须与知识经济时代发展要求相适应,具有较强的创新能力。而未来社会迫切需要的是具有创新创业能力的人才。高素质人才应具有独立生存的自信心、不断创新的进取心、广泛关怀的责任心;具有对环境的适应能力、对文化的整合能力、为理想而奋斗的实践能力。大学生应该通过坚持知识能力素质的辩证统一,突出创新能力的培养,努力提高实践能力,加强心理素质的锻炼促进独立创业思想的培养。因此,开发这款大学生创新团队管理系统是至关重要的。 根据需求,确定系统采用JSP技术,JAVA作为编程语言,MySQL作为数据库。整个系统要操作方便、易于维护、灵活实用。主要实现了频道维护、资源维护、交流中心、日志维护、系统管理等功能。
[毕业设计]学生成绩在线查询系统(PHP+MySQL)(源代码+论文).zip
08-08
[毕业设计]学生成绩在线查询系统(PHP+MySQL)(源代码+论文)
matlab Q学习仿真_rezip1【含Matlab源码】【Matlab精品】..zip
08-08
matlab Q学习仿真_rezip1【含Matlab源码】【Matlab精品】.
[毕业设计]PHP图书借阅与归还管理系统(源代码+论文).zip
08-08
[毕业设计]PHP图书借阅与归还管理系统(源代码+论文)
易语言HTTP读文件( )支持库的进度回调模块源码
08-08
本模块为易语言HTTP读文件()支持库的下载进度回调扩展功能模块源码,获取下载文件大小,已经下载大小,下载进度百分比。易语言进度下载模块。需要编译后运行,调试模式无效。
简历-求职简历-word-文件-简历模版免费分享-应届生-高颜值简历模版-个人简历模版-简约大气-大学生在校生-求职-实习
08-08
c 简历-求职简历-word-文件-简历模版免费分享-应届生-高颜值简历模版-个人简历模版-简约大气-大学生在校生-求职-实习 简历是展示个人经历、技能和能力的重要文档,以下是一个常见的简历格式和内容模板,供您参考: 简历格式: 头部信息:包括姓名、联系方式(电话号码、电子邮件等)、地址等个人基本信息。 求职目标(可选):简短描述您的求职意向和目标。 教育背景:列出您的教育经历,包括学校名称、所学专业、就读时间等。 工作经验:按时间顺序列出您的工作经历,包括公司名称、职位、工作时间、工作职责和成就等。 技能和能力:列出您的专业技能、语言能力、计算机技能等与职位相关的能力。 实习经验/项目经验(可选):如果您有相关实习或项目经验,可以列出相关信息。 获奖和荣誉(可选):列出您在学术、工作或其他领域获得的奖项和荣誉。 自我评价(可选):简要描述您的个人特点、能力和职业目标。 兴趣爱好(可选):列出您的兴趣爱好,展示您的多样性和个人素质。 参考人(可选):如果您有可提供推荐的人员,可以在简历中提供其联系信息。 简历内容模板: 姓名: 联系方式: 地址: 求职目标: (简短描述您的
蒙特卡罗方法教学课件第五章蒙特卡罗方法在计算机上的实现.pptx
最新发布
08-08
蒙特卡罗方法教学课件第五章蒙特卡罗方法在计算机上的实现.pptx
深度强化学习训练ai游戏demo
08-08
深度学习 【项目资源】:包含前端、后端、移动开发、人工智能、物联网、信息化管理、数据库、硬件开发、大数据、课程资源,毕业设计等各种技术项目的源码。包括C++、Java、python、web、C#、EDA等项目的源码。 【适用人群】:适用于希望学习不同技术领域的初学者或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 【附加价值】:项目具有较高的学习借鉴价值,也可直接拿来修改复刻。对于有一定基础或热衷于研究的人来说,可以在这些基础代码上进行修改和扩展,实现其他功能。 【沟通交流】:有任何使用上的问题,欢迎随时与博主沟通,博主会及时解答。鼓励下载和使用,并欢迎大家互相学习,共同进步。
CVE-2016-4622:JavaScript引擎漏洞利用详解
本文深入探讨了漏洞利用的艺术,聚焦于JavaScript引擎攻击,特别是针对WebKit中使用的JavaScriptCore引擎漏洞研究,即CVE-2016-4622。该漏洞由作者在2016年初发现,并由zerodayinitiative报告,编号ZDI-16-485,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值