PHP Tidy库远程缓冲区溢出漏洞(CVE-2007-3294)

Tidy库用于改正HTML文档中的常见错误并生成格式编排良好的等价文档，还可以生成XHTML格式的文档。

 

Tidy库实现上存在缓冲区溢出漏洞，攻击者可能利用此漏洞通过诱使用户处理恶意文档执行恶意指令。

 

PHP所使用的Tidy库中没有正确验证对tidy_parse_string()和tidy_repair_string()函数的输入。如果用户向这些函数传送了超长参数的话，就可能触发缓冲区溢出，导致执行任意指令。

 

 

 

解决方法

厂商补丁：

The PHP Development Team 

---------  

目前 php 开发团队已经发布 php 最新版本, 请到厂商的官方页面下载最新版本:  

链接：http://cn2.php.net/downloads.php