BDU:2015-00369

Опубликовано: 18 июн. 2014

Источник: fstec

CVSS2: 5.1

EPSS Низкий

Описание

Переполнение буфера в динамической памяти в функции php_parserr в ext/standard/dns.c в PHP позволяет удаленным серверам вызвать отказ в обслуживании (аварийное завершение работы) и выполнить произвольный код, используя специально сформированные TXT-записи DNS. Данная уязвимость связана с функцией dns_get_record.

Вендор

PHP Group

Наименование ПО

PHP

Версия ПО

от 5.3.0 до 5.3.29 (PHP)

от 5.4.0 до 5.4.30 (PHP)

от 5.5.0 до 5.5.14 (PHP)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,1)

Возможные меры по устранению уязвимости

Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:

http://www.php.net

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4049
CVE

EPSS

Процентиль: 92%

0.08895

Низкий

5.1 Medium

CVSS2

Связанные уязвимости

CVE-2014-4049

ubuntu

больше 11 лет назад

Heap-based buffer overflow in the php_parserr function in ext/standard/dns.c in PHP 5.6.0beta4 and earlier allows remote servers to cause a denial of service (crash) and possibly execute arbitrary code via a crafted DNS TXT record, related to the dns_get_record function.