发布日期：2014-06-16
更新日期：2014-06-17

受影响系统：

PHP PHP 5.5.x
PHP PHP 5.4.x
PHP PHP 5.3.x

描述：

---

CVE(CAN) ID: CVE-2014-4049

PHP是广泛使用的通用目的脚本语言，特别适合于Web开发，可嵌入到HTML中。

PHP在"php_parserr()"函数(ext/standard/dns.c)的实现中存在错误，恶意用户通过特制的DNS TXT记录响应，利用此漏洞可造成堆缓冲区溢出。成功利用后可导致任意代码执行。要利用此漏洞需要通过中间人攻击注入任意DNS响应数据包。

<*来源：vendor
  
  链接：http://secunia.com/advisories/58683/
*>

建议：

---

厂商补丁：

PHP
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.php.net/downloads.php
https://github.com/php/php-src/commit/4f73394fdd95d3165b4391e1b0dedd57fced8c3b

浏览次数：3771
严重程度：0（网友投票）