http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200203-023

PHP是一种被广泛使用的脚本语言，用于基于Web的CGI程序，它可被安装在包括Apache、IIS、Caudium、Netscape、iPlanet和OmniHTTPd等多种Web服务器上。PHP4.1.2以前的实现中存在缓冲区溢出漏洞，远程攻击者可以通过溢出攻击在主机上执行任意指令。PHP支持multipart/form-dataPOST请求(RFC1867)，实现了POST文件上传。但是用于解码MIME数据的php_mime_split函数存在缓冲区溢出问题，远程攻击者可以利用这个漏洞在主机上以Web服务器进程的身份执行任意指令。不仅PHP4受这个漏洞影响，而且以前的PHP3也受此漏洞的影响，Apache的PHP模块也存在这个漏洞。使用cvsPHP4.2.0-dev版本的用户不受上述安全漏洞的影响，因为4.2.0系列的文件上传代码已完全重写。

来源:US-CERTVulnerabilityNote:VU#297363
名称:VU#297363
链接:http://www.kb.cert.org/vuls/id/297363
来源:CERT/CCAdvisory:CA-2002-05
名称:CA-2002-05
链接:http://www.cert.org/advisories/CA-2002-05.html
来源:www.php.net
链接:http://www.php.net/downloads.php
来源:security.e-matters.de
链接:http://security.e-matters.de/advisories/012002.html
来源:BID
名称:4183
链接:http://www.securityfocus.com/bid/4183
来源:REDHAT
名称:RHSA-2002:040
链接:http://www.redhat.com/support/errata/RHSA-2002-040.html
来源:REDHAT
名称:RHSA-2002:035
链接:http://www.redhat.com/support/errata/RHSA-2002-035.html
来源:SUSE
名称:SuSE-SA:2002:007
链接:http://www.novell.com/linux/security/advisories/2002_007_mod_php4_txt.html
来源:ENGARDE
名称:ESA-20020301-006
链接:http://www.linuxsecurity.com/advisories/other_advisory-1924.html
来源:MANDRAKE
名称:MDKSA-2002:017
链接:http://www.linux-mandrake.com/en/security/2002/MDKSA-2002-017.php
来源:XF
名称:php-file-upload-overflow(8281)
链接:http://www.iss.net/security_center/static/8281.php
来源:DEBIAN
名称:DSA-115
链接:http://www.debian.org/security/2