PHP是一种流行的WEB服务器端编程语言。 PHP中的chunk_split函数在处理畸形参数时存在整数溢出漏洞,本地攻击者可能利用此漏洞提升自己的权限。 PHP中chunk_split函数的1963行试图为函数结果分配充分的内存大小,但没有执行任何检查便使用了srclen和chunklen参数块。如果值的块和endlen大于65534字节的话,就会触发整数溢出,分配错误的内存大小,导致堆溢出。 ext/standard/string.c: 1953 static char *php_chunk_split(char *src, int srclen, char *end, int endlen, int chunklen, int *destlen) 1954 { 1955 char *dest; 1956 char *p, *q; 1957 int chunks; /* complete chunks! */ 1958 int restlen; 1959 1960 chunks = srclen / chunklen; 1961 restlen = srclen - chunks * chunklen; /* srclen \\% chunklen */ 1962 1963 dest = safe_emalloc((srclen + (chunks + 1) * endlen + 1), sizeof(char), 0); 1964 1965 for (p = src, q = dest; p < (src + srclen - chunklen + 1); ) { 1966 memcpy(q, p, chunklen); 1967 q += chunklen; 1968 memcpy(q, end, endlen); 1969 q += endlen; 1970 p += chunklen; 1971 }
PHP是一种流行的WEB服务器端编程语言。 PHP中的chunk_split函数在处理畸形参数时存在整数溢出漏洞,本地攻击者可能利用此漏洞提升自己的权限。 PHP中chunk_split函数的1963行试图为函数结果分配充分的内存大小,但没有执行任何检查便使用了srclen和chunklen参数块。如果值的块和endlen大于65534字节的话,就会触发整数溢出,分配错误的内存大小,导致堆溢出。 ext/standard/string.c: 1953 static char *php_chunk_split(char *src, int srclen, char *end, int endlen, int chunklen, int *destlen) 1954 { 1955 char *dest; 1956 char *p, *q; 1957 int chunks; /* complete chunks! */ 1958 int restlen; 1959 1960 chunks = srclen / chunklen; 1961 restlen = srclen - chunks * chunklen; /* srclen \\% chunklen */ 1962 1963 dest = safe_emalloc((srclen + (chunks + 1) * endlen + 1), sizeof(char), 0); 1964 1965 for (p = src, q = dest; p < (src + srclen - chunklen + 1); ) { 1966 memcpy(q, p, chunklen); 1967 q += chunklen; 1968 memcpy(q, end, endlen); 1969 q += endlen; 1970 p += chunklen; 1971 }