製品・ソフトウェアに関する情報

JVN脆弱性詳細

PHP の SplObjectStorage における重要な情報を取得される脆弱性

タイトル	PHP の SplObjectStorage における重要な情報を取得される脆弱性
概要	PHP の SplObjectStorage には、unserialize 関数の処理に関して不備があるため、任意のコードを実行される、または重要な情報を取得される脆弱性が存在します。
想定される影響	第三者により、シリアル化されたデータを介して、任意のコードを実行される、または重要な情報を取得される脆弱性が存在します。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2010年6月24日0:00
登録日	2010年8月18日18:27
最終更新日	2010年10月19日15:20

影響を受けるシステム

The PHP Group

PHP 5.2.13 およびそれ以前

PHP 5.3.2 およびそれ以前

ターボリナックス

Turbolinux Appliance Server 2.0

Turbolinux Appliance Server 3.0

Turbolinux Appliance Server 3.0 (x64)

Turbolinux Client 2008

Turbolinux Server 10

Turbolinux Server 10 (x64)

Turbolinux Server 11

Turbolinux Server 11 (x64)

アップル

Apple Mac OS X v10.6.4

Apple Mac OS X Server v10.6.4

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2010-2225	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2225
National Vulnerability Database (NVD)
2	CVE-2010-2225	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-2225

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-399	https://jvndb.jvn.jp/ja/cwe/CWE-399.html

ベンダー情報

No	名前	URL
Apple Security Updates
1	HT4312	http://support.apple.com/kb/HT4312
Apple セキュリティアップデート
2	HT4312	http://support.apple.com/kb/HT4312?viewlocale=ja_JP
Month of PHP Security
3	MOPS-2010-061	http://www.php-security.org/2010/06/25/mops-2010-061-php-splobjectstorage-deserialization-use-after-free-vulnerability/index.html
PHP
4	PHP 5.2.14 Release Announcement	http://www.php.net/releases/5_2_14.php
5	PHP 5.3.3 Release Announcement	http://www.php.net/releases/5_3_3.php
6	PHP ChangeLog Version 5.2.14	http://www.php.net/ChangeLog-5.php#5.2.14
7	PHP ChangeLog Version 5.3.3	http://www.php.net/ChangeLog-5.php#5.3.3
Turbolinux Security Advisory
8	TLSA-2010-35	http://www.turbolinux.co.jp/security/2010/TLSA-2010-35j.txt

その他

No	名前	URL
Secunia Advisory
1	SA40268	http://secunia.com/advisories/40268
SecurityFocus
2	40948	http://www.securityfocus.com/bid/40948
VUPEN Security
3	VUPEN/ADV-2010-1611	http://www.vupen.com/english/advisories/2010/1611
4	VUPEN/ADV-2010-1904	http://www.vupen.com/english/advisories/2010/1904
X-Force Security Alerts and Advisories
5	59610	http://xforce.iss.net/xforce/xfdb/59610

変更履歴

No	変更内容	変更日
0	[2010年08月18日] 掲載 [2010年09月08日] 影響を受けるシステム：アップル (HT4312) の情報を追加ベンダ情報：アップル (HT4312) を追加 [2010年10月19日] 影響を受けるシステム：ターボリナックス (TLSA-2010-35) の情報を追加ベンダ情報：ターボリナックス (TLSA-2010-35) を追加	2018年2月17日10:37

NVD脆弱性情報

CVE-2010-2225

概要	Use-after-free vulnerability in the SplObjectStorage unserializer in PHP 5.2.x and 5.3.x through 5.3.2 allows remote attackers to execute arbitrary code or obtain sensitive information via serialized data, related to the PHP unserialize function.
公表日	2010年6月24日21:30
登録日	2021年1月29日11:02
最終更新日	2024年11月21日10:16

影響を受けるソフトウェアの構成

関連情報、対策とツール

No	URL	タグ
1	http://lists.apple.com/archives/security-announce/2010//Aug/msg00003.html
2	http://lists.apple.com/archives/security-announce/2010//Aug/msg00003.html
3	http://lists.opensuse.org/opensuse-security-announce/2010-09/msg00006.html
4	http://lists.opensuse.org/opensuse-security-announce/2010-09/msg00006.html
5	http://lists.opensuse.org/opensuse-security-announce/2010-10/msg00000.html
6	http://lists.opensuse.org/opensuse-security-announce/2010-10/msg00000.html
7	http://marc.info/?l=bugtraq&m=133469208622507&w=2
8	http://marc.info/?l=bugtraq&m=133469208622507&w=2
9	http://marc.info/?l=bugtraq&m=133469208622507&w=2
10	http://marc.info/?l=bugtraq&m=133469208622507&w=2
11	http://pastebin.com/mXGidCsd	Exploit
12	http://pastebin.com/mXGidCsd	Exploit
13	http://secunia.com/advisories/40860
14	http://secunia.com/advisories/40860
15	http://support.apple.com/kb/HT4312
16	http://support.apple.com/kb/HT4312
17	http://twitter.com/i0n1c/statuses/16373156076
18	http://twitter.com/i0n1c/statuses/16373156076
19	http://twitter.com/i0n1c/statuses/16447867829
20	http://twitter.com/i0n1c/statuses/16447867829
21	http://www.debian.org/security/2010/dsa-2089
22	http://www.debian.org/security/2010/dsa-2089
23	http://www.securityfocus.com/bid/40948
24	http://www.securityfocus.com/bid/40948
25	https://bugzilla.redhat.com/show_bug.cgi?id=605641
26	https://bugzilla.redhat.com/show_bug.cgi?id=605641
27	https://exchange.xforce.ibmcloud.com/vulnerabilities/59610
28	https://exchange.xforce.ibmcloud.com/vulnerabilities/59610

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-399	リソース管理の問題	https://cwe.mitre.org/data/definitions/399.html