重要:PHP7漏洞情况的通报-演道网

近日,国家信息安全漏洞库( CNNVD )收到多个关于“ PHP7 ”漏洞情况的报送。其中编号为CNNVD-201612-760 和 CNNVD-201612-761 的两个漏洞影响 PHP7 版本,利用难度较大;编号为 CNNVD-201612-759 的漏洞同时影响 PHP7 版本和 PHP5 版本,利用难度较小。

目前多个主流内容管理平台基于 PHP5 开发,因此漏洞影响范围较广,国家信息安全漏洞库(CNNVD )对上述漏洞进行了跟踪分析,情况如下:

漏洞简介

PHP ( PHP : Hypertext Preprocessor , PHP :超文本预处理器)是 PHP Group 和开放源代码社区共同维护的一种开源的通用计算机脚本语言。该语言支持多重语法、支持多数据库及操作系统和支持 C 、 C++ 进行程序扩展等。

PHP 5.6.26 版本和 7.0 至 7.0.13 版本中存在远程拒绝服务漏洞( CNNVD-201612-759 , CVE-2016-7478 )。攻击者可利用该漏洞造成拒绝服务。

PHP 7.0 至 7.0.13 版本中存在拒绝服务漏洞( CNNVD-201612-760 , CVE-2016-7479 )。攻击者可利用该漏洞造成拒绝服务(无限循环)。

PHP 7.0.12 之前的版本中存在远程代码执行漏洞( CNNVD-201612-761 , CVE-2016-7480)。远程攻击者可利用 SplObjectStorage 对象的反序列化函数使用未初始化变量,导致修改内存数据,执行任意代码。

漏洞危害

攻击者可以利用上述漏洞远程控制服务器,或者导致网站瘫痪。此外,目前多个主流内容管理平台基于 PHP5 开发,攻击者可利用上述漏洞机制对 PHP5 的主流平台进行攻击,如 Magento 、vBulletin 、 Drupal 和 Joomla! 。

修复措施

PHP 官方已提供最新版本的 PHP7 ,新版本中不存在上述漏洞, PHP7 最新版本下载链接如下:

http://php.net/downloads.php#php-7.1

针对上述编号为 CNNVD-201612-759 和 CNNVD-201612-761 的漏洞, Github 已提供了修复措施,不方便升级至最新版 PHP7 的用户可参考如下链接:

https://github.com/php/php-src/commit/bcd64a9bdd8afcf7f91a12e700d12d12eedc136b

本通报由CNNVD技术支撑单位—— 北京神州绿盟信息安全科技股份有限公司、安天实验室 提供支持。

CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。

联系方式: cnnvd@itsec.gov.cn

*本文作者:cnnvd(机构账号),转载须注明来自FreeBuf.COM

本文转载自:http://www.freebuf.com/vuls/124519.html

关注微信公众号:PHP技术大全

PHPer升级为大神并不难!

转载自演道,想查看更及时的互联网产品技术热点文章请点击http://go2live.cn

发表评论

电子邮件地址不会被公开。 必填项已用*标注