近日,国家信息安全漏洞库( CNNVD )收到多个关于“ PHP7 ”漏洞情况的报送。其中编号为 CNNVD-201612-760 和 CNNVD-201612-761 的两个漏洞影响 PHP7 版本,利用难度较大;编号为 CNNVD-201612-759 的漏洞同时影响 PHP7 版本和 PHP5 版本,利用难度较小。
目前多个主流内容管理平台基于 PHP5 开发,因此漏洞影响范围较广,国家信息安全漏洞库( CNNVD )对上述漏洞进行了跟踪分析,情况如下:
PHP ( PHP : Hypertext Preprocessor , PHP :超文本预处理器)是 PHP Group 和开放源代码社区共同维护的一种开源的通用计算机脚本语言。该语言支持多重语法、支持多数据库及操作系统和支持 C 、 C++ 进行程序扩展等。
PHP 5.6.26 版本和 7.0 至 7.0.13 版本中存在远程拒绝服务漏洞( CNNVD-201612-759 , CVE-2016-7478 )。攻击者可利用该漏洞造成拒绝服务。
PHP 7.0 至 7.0.13 版本中存在拒绝服务漏洞( CNNVD-201612-760 , CVE-2016-7479 )。攻击者可利用该漏洞造成拒绝服务(无限循环)。
PHP 7.0.12 之前的版本中存在远程代码执行漏洞( CNNVD-201612-761 , CVE-2016-7480 )。远程攻击者可利用 SplObjectStorage 对象的反序列化函数使用未初始化变量,导致修改内存数据,执行任意代码。
攻击者可以利用上述漏洞远程控制服务器,或者导致网站瘫痪。此外,目前多个主流内容管理平台基于 PHP5 开发,攻击者可利用上述漏洞机制对 PHP5 的主流平台进行攻击,如 Magento 、 vBulletin 、 Drupal 和 Joomla! 。
PHP 官方已提供最新版本的 PHP7 ,新版本中不存在上述漏洞, PHP7 最新版本下载链接如下:
http://php.net/downloads.php#php-7.1
针对上述编号为 CNNVD-201612-759 和 CNNVD-201612-761 的漏洞, Github 已提供了修复措施,不方便升级至最新版 PHP7 的用户可参考如下链接:
https://github.com/php/php-src/commit/bcd64a9bdd8afcf7f91a12e700d12d12eedc136b
本通报由CNNVD技术支撑单位—— 北京神州绿盟信息安全科技股份有限公司、安天实验室 提供支持。
CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。
联系方式: cnnvd@itsec.gov.cn
*本文作者:cnnvd(机构账号),转载须注明来自FreeBuf.COM