新闻资讯
行业资讯
关于PHP7漏洞情况的通报
2017-12-14 17:23:16
摘要:近日,国家信息安全漏洞库(CNNVD)收到多个关于“PHP7”漏洞情况的报送。其中编号为CNNVD-201612-760和CNNVD-201612-761的两个漏洞影响PHP7版本,利用难度较大;编号为CNNVD-201612-759的漏洞同时影响PHP7版本和PHP5版本,利用难度较小。

近日,国家信息安全漏洞库(CNNVD)收到多个关于“PHP7”漏洞情况的报送。其中编号为CNNVD-201612-760和CNNVD-201612-761的两个漏洞影响PHP7版本,利用难度较大;编号为CNNVD-201612-759的漏洞同时影响PHP7版本和PHP5版本,利用难度较小。

目前多个主流内容管理平台基于PHP5开发,因此漏洞影响范围较广,国家信息安全漏洞库(CNNVD)对上述漏洞进行了跟踪分析,情况如下:

一、 漏洞简介

PHP(PHP:Hypertext Preprocessor,PHP:超文本预处理器)是PHP Group和开放源代码社区共同维护的一种开源的通用计算机脚本语言。该语言支持多重语法、支持多数据库及操作系统和支持C、C++进行程序扩展等。

PHP 5.6.26版本和7.0至7.0.13版本中存在远程拒绝服务漏洞(CNNVD-201612-759,CVE-2016-7478)。攻击者可利用该漏洞造成拒绝服务。

PHP 7.0至7.0.13版本中存在拒绝服务漏洞(CNNVD-201612-760,CVE-2016-7479)。攻击者可利用该漏洞造成拒绝服务(无限循环)。

PHP 7.0.12之前的版本中存在远程代码执行漏洞(CNNVD-201612-761,CVE-2016-7480)。远程攻击者可利用SplObjectStorage对象的反序列化函数使用未初始化变量,导致修改内存数据,执行任意代码。

二、 漏洞危害

攻击者可以利用上述漏洞远程控制服务器,或者导致网站瘫痪。此外,目前多个主流内容管理平台基于PHP5开发,攻击者可利用上述漏洞机制对PHP5的主流平台进行攻击,如Magento、vBulletin、Drupal和Joomla!。

三、 修复措施

PHP官方已提供最新版本的PHP7,新版本中不存在上述漏洞,PHP7最新版本下载链接如下:

http://php.net/downloads.php#php-7.1

针对上述编号为CNNVD-201612-759和CNNVD-201612-761的漏洞,Github已提供了修复措施,不方便升级至最新版PHP7的用户可参考如下链接:

https://github.com/php/php-src/commit/bcd64a9bdd8afcf7f91a12e700d12d12eedc136b

USA-IDC海外服务器租用全面支持PHP7环境,如有需要海外服务器租用,欢迎联系24小时在线客服

USA-IDC为您提供免备案服务器 0元试用
立即联系在线客服,即可申请免费产品试用服务
立即申请