English
¢¸¢· µÚ·Î
Ãë¾àÁ¡ID 22681
À§Çèµµ 40
Æ÷Æ® 80, ...
ÇÁ·ÎÅäÄÝ TCP
ºÐ·ù CGI
»ó¼¼¼³¸í ÇØ´ç À¥ ¼­¹ö´Â 5.5.25 ¹öÀüº¸´Ù ´õ ¿À·¡µÈ PHPÀÇ ¹öÀüÀ» °¡µ¿ ÁßÀÌ´Ù. PHP´Â À¥ °³¹ß¿¡ ÀûÇÕÇÏ°í HTML¿¡ ÀÓº£µðµå(embedded) µÉ ¼ö ÀÖ´Â ³Î¸® »ç¿ë ÁßÀÎ ¹ü¿ë ½ºÅ©¸³Æà ¾ð¾îÀÌ´Ù. PHPÀÇ 5.5.25 ÀÌÀü ¹öÀüÀº ´ÙÀ½°ú °°Àº ´ÙÁßÀÇ Ãë¾àÁ¡ÀÌ Á¸ÀçÇÑ´Ù.

- NULL ¹ÙÀÌÆ®¸¦ Æ÷ÇÔÇÏ´Â °æ·ÎÀ̸§ »ç¿ë¿¡ °ü·ÃµÈ ´Ù¼öÀÇ Ãë¾àÁ¡ÀÌ Á¸ÀçÇÑ´Ù. ¿ÜºÎÀÇ °ø°ÝÀÚ´Â '\0'¹®ÀÚ¸¦ ¾ÈÀüÇÏ´Ù°í ÆǴܵǴ ÆÄÀÏ È®ÀåÀÚ¿¡ ÇÔ²² »ç¿ëÇÏ¿© Á¢±Ù Á¦ÇÑÀ» ¿ìȸÇÒ ¼ö ÀÖ´Ù. (CVE-2006-7243, CVE-2015-4025)

- rfc1867.c ÆÄÀÏÀÇ multipart_buffer_headers()ÇÔ¼ö¿¡ HTTP ¿äû³»ÀÇ µ¥ÀÌÅ͸¦ ¿Ã¹Ù¸£°Ô ó¸®ÇÏÁö ¸øÇÏ¿© CPU »ç¿ëÀ» °ú´ÙÇÏ°Ô »ç¿ëÇÏ´Â ¿À·ù°¡ Á¸ÀçÇÑ´Ù. ÀÌ·Î ÀÎÇØ °ø°ÝÀÚ´Â Á¶ÀÛµÈ HTTP ¿äûÀ¸·Î ¼­ºñ½º °ÅºÎ¸¦ ÀÏÀ¸Å³ ¼ö ÀÖ´Ù. (CVE-2015-4024)

- '\x00'À¸·Î À߸° °æ·Î À̸§À» pcntl_exec ¸í·É¾î°¡ ó¸®ÇÒ ¶§ º¸¾È ¿ìȸ Ãë¾àÀÌ ¹ß»ýÇÑ´Ù. ÀÌ·Î ÀÎÇØ °ø°ÝÀÚ´Â Á¶ÀÛµÈ ¸í·É¾î Àμö¸¦ »ç¿ëÇÏ¿© ½ÇÇàÇÒ ¼ö ¾øµµ·Ï Á¦ÇÑµÈ ÀÓÀÇÀÇ ÆÄÀÏÀ» ½ÇÇàÇÒ ¼ö ÀÖ´Ù. (CVE-2015-4026)

* ¾Ë¸²: ÀÌ Á¡°ËÇ׸ñÀº ÀÌ Ãë¾àÁ¡À» Á¡°ËÇϱâ À§ÇØ ÇØ´ç ¿ø°ÝÁö PHP ¼­¹öÀÇ ¹öÀü Á¤º¸¸¸À» È®ÀÎÇÑ´Ù. µû¶ó¼­ °ÅÁþ ¾ç¼º¹ÝÀÀ(False Positive)À» º¸ÀÏ ¼ö ÀÖ´Ù.

* Âü°í »çÀÌÆ®:
http://php.net/ChangeLog-5.php#5.5.25

* ¿µÇâÀ» ¹Þ´Â Ç÷§Æû:
PHP 5.5.25 ÀÌÀüÀÇ ¹öÀüµé
Any operating system Any version
ÇØ°áÃ¥ PHP À¥ »çÀÌÆ®ÀÎ http://www.php.net/downloads.php ¿¡¼­ ±¸ÇÒ ¼ö ÀÖ´Â PHPÀÇ °¡Àå ÃֽŠ¹öÀü(5.5.25 ȤÀº ÀÌÈÄ)À¸·Î ¾÷±×·¹À̵å ÇÏ¿©¾ß ÇÑ´Ù.
°ü·Ã URL CVE-2006-7243,CVE-2015-4024,CVE-2015-4025,CVE-2015-4026 (CVE)
°ü·Ã URL 44951,74903,74904,75056 (SecurityFocus)
°ü·Ã URL (ISS)