製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

Gentoo Linux の PHP Toolkit におけるサービス運用妨害 (DoS) の脆弱性

タイトル	Gentoo Linux の PHP Toolkit におけるサービス運用妨害 (DoS) の脆弱性
概要	Gentoo Linux の PHP Toolkit は、解釈矛盾が発生するため、サービス運用妨害 (PHP の停止) 状態となる、および PHP スクリプトのコンテンツを読まれる脆弱性が存在します。
想定される影響	ローカルユーザにより、小文字のアルファベット 1 文字のファイル名を作成されることで、文字通りの [a-z] 正規表現文字列としての解釈せずに、ファイル名に一致するシェルグロブとして、特定の引用符で囲まれていない [a-z] の引数として解釈される状態を誘発され、結果として、Apache HTTP Server 内で PHP インタプリタの起動を阻止され、サービス運用妨害 (PHP の停止) 状態にされる、および PHP スクリプトのコンテンツを読まれる可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2008年4月17日0:00
登録日	2012年6月26日16:02
最終更新日	2012年6月26日16:02

CVSS2.0 : 注意
スコア	3.6
ベクター	AV:L/AC:L/Au:N/C:P/I:N/A:P

影響を受けるシステム

Gentoo Linux

Gentoo Linux

php toolkit 1.0.1 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2008-1734	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1734
National Vulnerability Database (NVD)
2	CVE-2008-1734	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-1734

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-20	https://jvndb.jvn.jp/ja/cwe/CWE-20.html

ベンダー情報

No	名前	URL
gentoo
1	GLSA 200804-19	http://security.gentoo.org/glsa/glsa-200804-19.xml

変更履歴

No	変更内容	変更日
0	[2012年06月26日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2008-1734

概要	Interpretation conflict in PHP Toolkit before 1.0.1 on Gentoo Linux might allow local users to cause a denial of service (PHP outage) and read contents of PHP scripts by creating a file with a one-letter lowercase alphabetic name, which triggers interpretation of a certain unquoted [a-z] argument as a matching shell glob for this name, rather than interpretation as the literal [a-z] regular-expression string, and consequently blocks the launch of the PHP interpreter within the Apache HTTP Server.
概要	Conflicto de interpretación en PHP Toolkit antes de 1.0.1 en Gentoo Linux podría permitir a usuarios locales provocar una denegación de servicio (Parada PHP) y leer contenidos de secuencias de comandos PHP creando un archivo con un nombre de una letra del alfabeto en minúsculas, lo que dispara la interpretación de cierto argumento [a-z] no entrecomillado como un intérprete de comandos glob coincidente para este nombre, mejor que una interpretación como la cadena de expresión regular [a-z] literal y consecuentemente bloquea el lanzamiento del intérprete PHP del Servidor Apache HTTP.
公表日	2008年4月19日0:05
登録日	2021年1月29日13:34
最終更新日	2026年4月23日9:35

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満

構成2		以上	以下	より上	未満
cpe:2.3:a:gentoo:php_toolkit::rc1::::::*			1.0
cpe:2.3:a:gentoo:php_toolkit:1.0:::::::*
cpe:2.3:a:gentoo:php_toolkit:1.0:rc2::::::

関連情報、対策とツール

No	URL	refsource	タグ
1	http://bugs.gentoo.org/show_bug.cgi?id=209535	cve@mitre.org
2	http://security.gentoo.org/glsa/glsa-200804-19.xml	cve@mitre.org
3	http://www.securityfocus.com/bid/28844	cve@mitre.org
4	https://exchange.xforce.ibmcloud.com/vulnerabilities/41928	cve@mitre.org
5	http://bugs.gentoo.org/show_bug.cgi?id=209535	af854a3a-2127-422b-91ae-364da2661108
6	http://security.gentoo.org/glsa/glsa-200804-19.xml	af854a3a-2127-422b-91ae-364da2661108
7	http://www.securityfocus.com/bid/28844	af854a3a-2127-422b-91ae-364da2661108
8	https://exchange.xforce.ibmcloud.com/vulnerabilities/41928	af854a3a-2127-422b-91ae-364da2661108

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-20	不適切な入力確認	https://cwe.mitre.org/data/definitions/20.html