库币充值设为首页收藏本站

K8安全团队

 找回密码
 立即注册

QQ登录

只需一步,快速开始

官方论坛交流区:85889829库币兑换金币点我库币积分充值点我招收活跃管理人员,版主,加群联系
查看: 80|回复: 0

PHP7漏洞情况的通报

[复制链接]

10

主题

11

帖子

67

积分

实习白帽子

Rank: 2

威望
5
贡献
5
库币
108
发表于 2017-1-5 14:37:12 | 显示全部楼层 |阅读模式

近日,国家信息安全漏洞库(CNNVD)收到多个关于“PHP7”漏洞情况的报送。其中编号为CNNVD-201612-760CNNVD-201612-761的两个漏洞影响PHP7版本,利用难度较大;编号为CNNVD-201612-759的漏洞同时影响PHP7版本和PHP5版本,利用难度较小。

目前多个主流内容管理平台基于PHP5开发,因此漏洞影响范围较广,国家信息安全漏洞库(CNNVD)对上述漏洞进行了跟踪分析,情况如下:

一、 漏洞简介

PHP(PHP:Hypertext Preprocessor,PHP:超文本预处理器)是PHP Group和开放源代码社区共同维护的一种开源的通用计算机脚本语言。该语言支持多重语法、支持多数据库及操作系统和支持C、C++进行程序扩展等。

PHP 5.6.26版本和7.0至7.0.13版本中存在远程拒绝服务漏洞(CNNVD-201612-759,CVE-2016-7478)。攻击者可利用该漏洞造成拒绝服务。

PHP 7.0至7.0.13版本中存在拒绝服务漏洞(CNNVD-201612-760,CVE-2016-7479)。攻击者可利用该漏洞造成拒绝服务(无限循环)。

PHP 7.0.12之前的版本中存在远程代码执行漏洞(CNNVD-201612-761,CVE-2016-7480)。远程攻击者可利用SplObjectStorage对象的反序列化函数使用未初始化变量,导致修改内存数据,执行任意代码。

二、 漏洞危害

攻击者可以利用上述漏洞远程控制服务器,或者导致网站瘫痪。此外,目前多个主流内容管理平台基于PHP5开发,攻击者可利用上述漏洞机制对PHP5的主流平台进行攻击,如Magento、vBulletin、Drupal和Joomla!。

三、 修复措施

PHP官方已提供最新版本的PHP7,新版本中不存在上述漏洞,PHP7最新版本下载链接如下:

http://php.net/downloads.php#php-7.1

针对上述编号为CNNVD-201612-759和CNNVD-201612-761的漏洞,Github已提供了修复措施,不方便升级至最新版PHP7的用户可参考如下链接:

https://github.com/php/php-src/commit/bcd64a9bdd8afcf7f91a12e700d12d12eedc136b


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|K8安全团队    

GMT+8, 2017-2-27 16:59 , Processed in 0.193610 second(s), 33 queries .

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表