未加星标

关于PHP7漏洞情况的通报

字体大小 | |
[开发(php) 所属分类 开发(php) | 发布者 店小二04 | 时间 2017 | 作者 红领巾 ] 0人收藏点击收藏

近日,国家信息安全漏洞库( CNNVD )收到多个关于“ php7 ”漏洞情况的报送。其中编号为 CNNVD-201612-760 和 CNNVD-201612-761 的两个漏洞影响 PHP7 版本,利用难度较大;编号为 CNNVD-201612-759 的漏洞同时影响 PHP7 版本和 PHP5 版本,利用难度较小。

目前多个主流内容管理平台基于 PHP5 开发,因此漏洞影响范围较广,国家信息安全漏洞库( CNNVD )对上述漏洞进行了跟踪分析,情况如下:

漏洞简介

PHP ( PHP : Hypertext Preprocessor , PHP :超文本预处理器)是 PHP Group 和开放源代码社区共同维护的一种开源的通用计算机脚本语言。该语言支持多重语法、支持多数据库及操作系统和支持 C 、 C++ 进行程序扩展等。

PHP 5.6.26 版本和 7.0 至 7.0.13 版本中存在远程拒绝服务漏洞( CNNVD-201612-759 , CVE-2016-7478 )。攻击者可利用该漏洞造成拒绝服务。

PHP 7.0 至 7.0.13 版本中存在拒绝服务漏洞( CNNVD-201612-760 , CVE-2016-7479 )。攻击者可利用该漏洞造成拒绝服务(无限循环)。

PHP 7.0.12 之前的版本中存在远程代码执行漏洞( CNNVD-201612-761 , CVE-2016-7480 )。远程攻击者可利用 SplObjectStorage 对象的反序列化函数使用未初始化变量,导致修改内存数据,执行任意代码。

漏洞危害

攻击者可以利用上述漏洞远程控制服务器,或者导致网站瘫痪。此外,目前多个主流内容管理平台基于 PHP5 开发,攻击者可利用上述漏洞机制对 PHP5 的主流平台进行攻击,如 Magento 、 vBulletin 、 Drupal 和 Joomla! 。

修复措施

PHP 官方已提供最新版本的 PHP7 ,新版本中不存在上述漏洞, PHP7 最新版本下载链接如下:

http://php.net/downloads.php#php-7.1

针对上述编号为 CNNVD-201612-759 和 CNNVD-201612-761 的漏洞, Github 已提供了修复措施,不方便升级至最新版 PHP7 的用户可参考如下链接:

https://github.com/php/php-src/commit/bcd64a9bdd8afcf7f91a12e700d12d12eedc136b

本通报由CNNVD技术支撑单位―― 北京神州绿盟信息安全科技股份有限公司、安天实验室 提供支持。

CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。

联系方式: [email protected]

*本文作者:cnnvd(机构账号),转载须注明来自CodeSec.Net

本文开发(php)相关术语:php代码审计工具 php开发工程师 移动开发者大会 移动互联网开发 web开发工程师 软件开发流程 软件开发工程师

分页:12
转载请注明
本文标题:关于PHP7漏洞情况的通报
本站链接:http://www.codesec.net/view/520504.html
分享请点击:


1.凡CodeSecTeam转载的文章,均出自其它媒体或其他官网介绍,目的在于传递更多的信息,并不代表本站赞同其观点和其真实性负责;
2.转载的文章仅代表原创作者观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,本站对该文以及其中全部或者部分内容、文字的真实性、完整性、及时性,不作出任何保证或承若;
3.如本站转载稿涉及版权等问题,请作者及时联系本站,我们会及时处理。
登录后可拥有收藏文章、关注作者等权限...
技术大类 技术大类 | 开发(php) | 评论(0) | 阅读(33)