製品・ソフトウェアに関する情報

JVN脆弱性詳細

PHP の xmlrpc 拡張におけるサービス運用妨害 (DoS) の脆弱性

Title	PHP の xmlrpc 拡張におけるサービス運用妨害 (DoS) の脆弱性
Summary	PHP の xmlrpc 拡張には、xmlrpc_decode_request 関数への最初の引数における不足した methodName 要素を適切に処理しないため、サービス運用妨害 (DoS) 状態となる、および詳細不明な影響を受ける脆弱性が存在します。
Possible impacts	攻撃者により、巧妙に細工された引数を介して、サービス運用妨害 (DoS) 状態にされる、および詳細不明な影響を受ける可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	March 16, 2010, midnight
Registration Date	May 25, 2010, 4:05 p.m.
Last Update	Dec. 15, 2010, 3:27 p.m.

CVSS2.0 : 警告
Score	5
Vector	AV:N/AC:L/Au:N/C:N/I:N/A:P

Affected System

レッドハット

Red Hat Enterprise Linux 4 (as)

Red Hat Enterprise Linux 4 (es)

Red Hat Enterprise Linux 4 (ws)

Red Hat Enterprise Linux 4.8 (as)

Red Hat Enterprise Linux 4.8 (es)

Red Hat Enterprise Linux 5 (server)

Red Hat Enterprise Linux Desktop 4.0

RHEL Desktop Workstation 5 (client)

The PHP Group

PHP 5.2.14 未満

PHP 5.3.3 未満

ターボリナックス

Turbolinux Appliance Server 2.0

Turbolinux Appliance Server 3.0

Turbolinux Appliance Server 3.0 (x64)

Turbolinux Client 2008

Turbolinux Server 10

Turbolinux Server 10 (x64)

Turbolinux Server 11

Turbolinux Server 11 (x64)

サイバートラスト株式会社

Asianux Server 3 (x86)

Asianux Server 3 (x86-64)

Asianux Server 3.0

Asianux Server 3.0 (x86-64)

アップル

Apple Mac OS X v10.5.8

Apple Mac OS X v10.6 から v10.6.4

Apple Mac OS X Server v10.5.8

Apple Mac OS X Server v10.6 から v10.6.4

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2010-0397	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0397
National Vulnerability Database (NVD)
2	CVE-2010-0397	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-0397

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther

ベンダー情報

No	Name	URL
Apple Security Updates
1	HT4312	http://support.apple.com/kb/HT4312
2	HT4435	http://support.apple.com/kb/HT4435
Apple セキュリティアップデート
3	HT4312	http://support.apple.com/kb/HT4312?viewlocale=ja_JP
4	HT4435	http://support.apple.com/kb/HT4435?viewlocale=ja_JP
Asianux Technical Support Network
5	php-5.1.6-27.3.0.1.AXS3	https://tsn.miraclelinux.com/tsn_local/index.php?m=errata&a=detail&eid=1318
MIRACLE LINUX アップデート情報
6	2161	http://www.miraclelinux.com/support/index.php?q=node/99&errata_id=2161
PHP
7	306036	http://svn.php.net/viewvc/php/php-src/branches/PHP_5_3/NEWS?view=markup&pathrev=306036
8	51288	http://bugs.php.net/51288
9	PHP 5.2.14 Release Announcement	http://www.php.net/releases/5_2_14.php
10	PHP 5.3.3 Release Announcement	http://www.php.net/releases/5_3_3.php
Red Hat Security Advisory
11	RHSA-2010:0919	https://rhn.redhat.com/errata/RHSA-2010-0919.html
Turbolinux Security Advisory
12	TLSA-2010-35	http://www.turbolinux.co.jp/security/2010/TLSA-2010-35j.txt

その他

No	Name	URL
JVN
1	JVNVU#331391	http://jvn.jp/cert/JVNVU331391
SecurityFocus
2	38708	http://www.securityfocus.com/bid/38708
VUPEN Security
3	VUPEN/ADV-2010-0724	http://www.vupen.com/english/advisories/2010/0724
4	VUPEN/ADV-2010-1904	http://www.vupen.com/english/advisories/2010/1904

Change Log

No	Changed Details	Date of change
0	[2010年05月25日] 掲載 [2010年08月05日] 影響を受けるシステム：PHP Group (PHP 5.2.14 Release Announcement) の情報を追加影響を受けるシステム：PHP Group (PHP 5.3.3 Release Announcement) の情報を追加ベンダ情報：PHP Group (PHP 5.2.14 Release Announcement) を追加ベンダ情報：PHP Group (PHP 5.3.3 Release Announcement) を追加 [2010年09月08日] 影響を受けるシステム：アップル (HT4312) の情報を追加ベンダ情報：アップル (HT4312) を追加 [2010年10月19日] 影響を受けるシステム：ターボリナックス (TLSA-2010-35) の情報を追加ベンダ情報：ターボリナックス (TLSA-2010-35) を追加 [2010年11月26日] 影響を受けるシステム：アップル (HT4435) の情報を追加ベンダ情報：アップル (HT4435) を追加 [2010年12月15日] 影響を受けるシステム：ミラクル・リナックス (php-5.1.6-27.3.0.1.AXS3) の情報を追加影響を受けるシステム：ミラクル・リナックス (2161) の情報を追加影響を受けるシステム：レッドハット (RHSA-2010:0919) の情報を追加ベンダ情報：PHP Group (306036) を追加ベンダ情報：ミラクル・リナックス (php-5.1.6-27.3.0.1.AXS3) を追加ベンダ情報：ミラクル・リナックス (2161) を追加ベンダ情報：レッドハット (RHSA-2010:0919) を追加	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2010-0397

Summary	The xmlrpc extension in PHP 5.3.1 does not properly handle a missing methodName element in the first argument to the xmlrpc_decode_request function, which allows context-dependent attackers to cause a denial of service (NULL pointer dereference and application crash) and possibly have unspecified other impact via a crafted argument.
Summary	Per: http://cwe.mitre.org/data/slices/2000.html Improper Check for Unusual or Exceptional Conditions CWE-754
Publication Date	March 17, 2010, 4:30 a.m.
Registration Date	Jan. 29, 2021, 10:56 a.m.
Last Update	Dec. 10, 2010, 3:37 p.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:php:php:5.3.1:::::::*

Related information, measures and tools

No	URL	refsource	タグ
1	http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=573573	CONFIRM	Exploit
2	http://lists.apple.com/archives/security-announce/2010//Aug/msg00003.html	APPLE
3	http://lists.apple.com/archives/security-announce/2010//Nov/msg00000.html	APPLE
4	http://lists.opensuse.org/opensuse-security-announce/2010-05/msg00002.html	SUSE
5	http://lists.opensuse.org/opensuse-security-announce/2010-06/msg00001.html	SUSE
6	http://lists.opensuse.org/opensuse-security-announce/2010-09/msg00006.html	SUSE
7	http://secunia.com/advisories/42410	SECUNIA
8	http://support.apple.com/kb/HT4312	CONFIRM
9	http://support.apple.com/kb/HT4435	CONFIRM
10	http://www.mandriva.com/security/advisories?name=MDVSA-2010:068	MANDRIVA
11	http://www.openwall.com/lists/oss-security/2010/03/12/5	MLIST	Exploit
12	http://www.redhat.com/support/errata/RHSA-2010-0919.html	REDHAT
13	http://www.securityfocus.com/bid/38708	BID	Exploit
14	http://www.vupen.com/english/advisories/2010/0724	VUPEN
15	http://www.vupen.com/english/advisories/2010/3081	VUPEN

Common Vulnerabilities List