PHP緊急發(fā)布5.3.10修復重要漏洞

feiyang10086

PHP緊急發(fā)布5.3.10修復重要漏洞

近日，PHP 5.3.9被安全人員發(fā)現(xiàn)存在嚴重的安全漏洞，遠程攻擊者可以直接利用此漏洞執(zhí)行任意PHP代碼，安全風險非常高。這個漏洞是PHP的普及安全擴展建立者，獨立安全顧問Stefan Esser發(fā)現(xiàn)，并命名為CVE-2012-0830。

　　該漏洞(CVE-2012-0830)是由于PHP官方為解決多語言hash漏洞引入了新的機制產生的新的安全漏洞。 目前PHP官方已經緊急發(fā)布了5.3.10版本修復漏洞。

　　在一月初，SecurityFocus歸類發(fā)布了一個設計錯誤，它偶然引入了一種獨立的拒絕服務漏洞(CVE-2011-4885)。這個漏洞影響了包含了PHP、ASP.NET、JAVA、Python的網頁開發(fā)平臺，它能夠被使用在號稱“哈希沖突攻擊”的攻擊行為中。

　　首席漏洞安全專家Carsten Eiram表示，這個哈希沖突攻擊采用一個新的指令(max_input_vars) 限制服務器可以被接受的回話數量。但是，鑒于這個php_register_variable_ex()邏輯上的錯誤，當所提供的參數的數量高于上限的時候，會產生"php_register_variable_ex()" 應用在 php_variables.c中類似的問題，是無法被正確處理的。

　　目前，這個漏洞攻擊程序已經在網上公布，專家建議網絡服務器管理員馬上升級PHP 5.3.10版本。  


大小: 33.3 KB

星期六的深夜68

謝謝分享