文章彙整

PHP中的多個漏洞可造成任意代碼的執行

Astral WebBy Astral Web 3 months agoNo Comments
首頁  /  網站設計與開發  /  PHP中的多個漏洞可造成任意代碼的執行

本篇文章取自網路安全中心 (Center for Internet Security) 所撰寫 數個PHP漏洞可造成任意代碼的執行

MS-ISAC 諮詢編號:

2019-087

發佈日期:

09/03/2019

總覽:

網路安全中心 近期釋出在PHP中發現了許多漏洞的消息。其中最為嚴重的漏洞可允許任意代碼的執行。PHP是一程式語言。最初的設計適用於具有HTML內容的網路應用程式。PHP不但支援各式各樣的平台,同時也使用於許多網路應用軟體程式中。若是成功利用當中最嚴重的漏洞,則導致受影響的應用程式任意執行代碼。根據應用程式相關的權限,攻擊者可安裝程式、檢視、更改或刪除資料,甚至建立具有完整權限的新帳戶。最嚴重的情況會導致遭受DOS攻擊。

威脅情報:

目前尚未有關於這些漏洞被利用的報導。

受影響的版本:

  • PHP 7.1.32 前的 7.1 版本
  • PHP 7.2.22 前的 7.2 版本
  • PHP 7.3.9 前的 7.3 版本

風險:

政府:

  • 大型與中型政府型態:
  • 小型政府型態:

企業:

  • 大型與中型企業型態:
  • 小型企業型態:

家用用戶:

技術摘要:

在PHP中發現了多個漏洞,其中最為嚴重的漏洞可允許任意程式碼的執行。以下為漏洞的詳細資訊:

版本 7.3.9

  • Bug #78363 (Buffer overflow in zendparse)
  • Bug #78379 (Cast to object confuses GC, causes crash)
  • Bug #78412 (Generator incorrectly reports non-releasable $this as GC child)
  • Bug #77946 (Bad cURL resources returned by curl_multi_info_read()
  • Bug #78333 (Exif crash (bus error)
  • Bug #77185 (Use-after-free in FPM master event handling)
  • Bug #78342 (Bus error in configure test for iconv //IGNORE)
  • Bug #78380 (Oniguruma 6.9.3 fixes CVEs)
  • Bug #78179 (MariaDB server version incorrectly detected)
  • Bug #78213 (Empty row pocket)
  • Bug #77191 (Assertion failure in dce_live_ranges()
  • Bug #69100 (Bus error from stream_copy_to_stream (file -> SSL stream)
  • Bug #78282 (atime and mtime mismatch)
  • Bug #78326 (improper memory deallocation on stream_get_contents()
  • Bug #78346 (strip_tags no longer handling nested php tags)

版本 7.2.22

  • Bug #78363 (Buffer overflow in zendparse)
  • Bug #78379 (Cast to object confuses GC, causes crash)
  • Bug #77946 (Bad cURL resources returned by curl_multi_info_read()
  • Bug #78333 (Exif crash (bus error)
  • Bug #78342 (Bus error in configure test for iconv //IGNORE)
  • Bug #78179 (MariaDB server version incorrectly detected)
  • Bug #77191 (Assertion failure in dce_live_ranges()
  • Bug #69100 (Bus error from stream_copy_to_stream (file -> SSL stream)
  • Bug #78282 (atime and mtime mismatch)
  • Bug #78326 (improper memory deallocation on stream_get_contents()

版本 7.1.32

  • Bug #75457 (heap use-after-free in pcrelib)

建議:

我們建議採取以下措施:

  • 經過適當的測試後,立即升級至最新PHP版本。
  • 應用補丁前先確認系統中沒有發生任何未經授權的系統修改。
  • 將最小權限的原則應用在所有系統與服務中。
  • 提醒用戶不要訪問由未知或不可信任來源所提供的網站及連結。

參考網址:

PHP:

https://www.php.net/ChangeLog-7.php#7.1.32

https://www.php.net/ChangeLog-7.php#7.2.22

https://www.php.net/ChangeLog-7.php#7.3.9

翻譯文章:

網路安全中心 (Center for Internet Security) – 數個PHP漏洞可造成任意代碼的執行

 

若您有需要PHP版本升級的服務,歡迎與我們聯繫

也歡迎追蹤我們的粉絲專頁,隨時掌握最新資訊!

以上內容由Astralweb 歐斯瑞編寫製作

 000

推薦文章

Category:
  網站設計與開發

留下回應

你的電子郵件地址不會被公開.

取得獨家電子商務祕技

建立更好的策略靈感

跟上全球的網路趨勢

絕佳的電商解決方案

電子商務戰略全指南

每月發送電商戰略指南,只要填寫E-mail即可訂閱!

請到您的信箱確認,即可完成訂閱。