CVE-2008-5557 - PHP mbstring buffer overflow vulnerability
mbstring 関係の関数で HTML エンティティを含むユニコード文字列を変換をした場合に buffer overflow を起こす可能性があるそうです。
- 影響を受けるバージョン: PHP 4.3.0 以降、PHP 5.0.0 以降
- 修正されたバージョン: PHP 5.2.7 および PHP 5.3.0 alpha 3(PHP 4 系は既にメンテナンスは終了していますので、修正されません)
以下の関数でエンコーディングに HTML-ENTITIES を指定している場合は危険です。
- mb_convert_encoding()
- mb_check_encoding()
- mb_convert_variables()
- mb_parse_str()
php.ini などで以下の設定している場合は特に危険です。
mbstring.encoding_translation=on mbstring.http_input=HTML-ENTITIES mbstring.internal_encoding=UTF-8
とりあえず、エンコーディングに HTML-ENTITIES を使用しなければ問題ないと思います。