关于PHP7漏洞情况的通报
近日,国家信息安全漏洞库(CNNVD)收到多个关于“PHP7”漏洞情况的报送。其中编号为CNNVD-201612-760和CNNVD-201612-761的两个漏洞影响PHP7版本,利用难度较大;编号为CNNVD-201612-759的漏洞同时影响PHP7版本和PHP5版本,利用难度较小。
目前多个主流内容管理平台基于PHP5开发,因此漏洞影响范围较广,国家信息安全漏洞库(CNNVD)对上述漏洞进行了跟踪分析,情况如下:
一、 漏洞简介
PHP(PHP:Hypertext Preprocessor,PHP:超文本预处理器)是PHP Group和开放源代码社区共同维护的一种开源的通用计算机脚本语言。该语言支持多重语法、支持多数据库及操作系统和支持C、C++进行程序扩展等。
PHP 5.6.26版本和7.0至7.0.13版本中存在远程拒绝服务漏洞(CNNVD-201612-759,CVE-2016-7478)。攻击者可利用该漏洞造成拒绝服务。
PHP 7.0至7.0.13版本中存在拒绝服务漏洞(CNNVD-201612-760,CVE-2016-7479)。攻击者可利用该漏洞造成拒绝服务(无限循环)。
PHP 7.0.12之前的版本中存在远程代码执行漏洞(CNNVD-201612-761,CVE-2016-7480)。远程攻击者可利用SplObjectStorage对象的反序列化函数使用未初始化变量,导致修改内存数据,执行任意代码。
二、 漏洞危害
攻击者可以利用上述漏洞远程控制服务器,或者导致网站瘫痪。此外,目前多个主流内容管理平台基于PHP5开发,攻击者可利用上述漏洞机制对PHP5的主流平台进行攻击,如Magento、vBulletin、Drupal和Joomla!。
三、 修复措施
PHP官方已提供最新版本的PHP7,新版本中不存在上述漏洞,PHP7最新版本下载链接如下:
http://php.net/downloads.php#php-7.1
针对上述编号为CNNVD-201612-759和CNNVD-201612-761的漏洞,Github已提供了修复措施,不方便升级至最新版PHP7的用户可参考如下链接:
https://github.com/php/php-src/commit/bcd64a9bdd8afcf7f91a12e700d12d12eedc136b
本通报由CNNVD技术支撑单位——北京神州绿盟信息安全科技股份有限公司、安天实验室提供支持。
CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。
联系方式: cnnvd@itsec.gov.cn
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注网络尖刀微信公众号
随时掌握互联网精彩
随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 澳门是伟大祖国的一方宝地 7978158
- 2 上海地铁又现致歉信专用章 7912725
- 3 星巴克大罢工 7861042
- 4 2024 向上的中国 7759919
- 5 向佐 我一踢腿就会走光 7605551
- 6 韩国南部金海市某部队发生爆炸 7593956
- 7 特朗普:马斯克不会成为总统 7490120
- 8 张雨绮 为了讨大家喜欢才穿成这样 7325184
- 9 80岁顶级富豪再婚娶33岁华裔妻子 7297672
- 10 大S老公具俊晔站C位跳女团舞 7129303