软件开发客服
首页 > 上上资讯 > PHP 7版本再次出现安全漏洞

PHP 7版本再次出现安全漏洞

2019-11-03 14:34:55编辑:上上定制浏览量:48

倘若你的站点应用PHP开发设计,并且以Nginx建置网页页面网络服务器,并且打开了PHP-FPM(FastCGI Process Manager)解决网页页面存储的请求,一定要注意是不是存有安全漏洞CVE-2019-11043。PHP官方开发团队在接获通告以后,于10月24日发布修复版本号7.1.33、7.2.24,及其7.3.11,网络威协情报企业Bad Packets也于26日向新闻媒体ZDNet表达,已有使用安全漏洞的进攻恶性事件出現。

PHP 7版本再次出现安全漏洞

之所以能够发觉此项安全漏洞,缘自Wallarm企业的技术工程师Andrew Danau于9月中下旬参加Capture the Flag(CTF)比赛,他在答题时,不经意发现PHP脚本不平凡的处理方式──假如在网站地址列上键入%0a(意味着转到新的一行),所连到的站点网络服务器会回复比预估也要多的信息。尽管那时候并没有于是顺利发现出题者的正确的答案,但Andrew Danau与组队的几名同伴,也就是Emil Lerner和Omar Ganior,决策进一步讨论其背后的缘故,接着她们发现使用的方式,而且可以用于开展远端程式码实行(RCE)进攻,Emil Lerner与Omar Ganiev两个人在9月24日也发布概念验证(PoC)进攻程序。


网络攻击若想使用这一PHP安全漏洞,务必要传输一个专门的封包,裡面包括具备fastcgi_split_path主要参数的Nginx组态档案资料,于是,并不是全部应用PHP的站点都可能受到伤害,而是必须一起具有2个标准。最先,是站点网站服务器以Nginx搭建,接下来则是要开启PHP裡面提供的PHP-FPM组件,而这一组件关键的功能,就是支持PHP网页页面解决FastCGI协议。漏洞危害的范围有多少?主要是PHP 7的全部版本,由于启动进攻的全过程中,必须应用FastCGI主要参数_fcgi_data_seg,它是PHP 7才刚开始提供的性能,于是,只有针对较新的PHP 7启动进攻,而没法在停止支持的PHP 5上实行,但科学研究工作人员指出,网络攻击還是有可能通过别的的管路,于旧版PHP上使用这一安全漏洞。


依据W3Techs站点的统计分析,现阶段全世界的站点有30.6%採用Nginx网页页面网络服务器,33%网页页面採用PHP 7,站点经营人极有可能同时採用所述二者,再配搭PHP-FPM运行。于是这种的安全漏洞,依然相当有必要管理人员充分注意。尽管PHP官方网已发布最新版本修复安全漏洞,但站点管理人员倘若没法升级PHP版本,還是有一些解决之法,比如Andrew Danau觉得,可通过网页页面应用程序防火牆(WAF),过虑%0a和%0d字串的网站地址请求(但或者会出現误判的状况),而弱点管理业者Tenable则明确提出从网页页面程式码着手的作法,比如添加try_files命令,或者通过if宣布方法,如if (-f $uri),认证是不是有网页页面网络服务器上的档案资料能被直接存取。

标签: PHP 安全漏洞

00

相关资讯

Phpstudy安全升级

Phpstudy安全升级

2019年9月,杭州市举办新闻报道通报会,通告近年来深入开展严厉打击涉网刑事犯罪暨“净网2019”专项整治战况,通告內容中提及中国知名的PHP开发开发环境程序集成化包Phpstud

标签: Phpstudy

eIDAS存在身份认证严重安全漏洞

eIDAS存在身份认证严重安全漏洞

欧盟国家网络身份核查系统软件(eIDAS)被揭秘有认证避过(verificationbypass)系统漏洞,使网络攻击能够假冒欧盟国家用户资格。那麼究竟什么叫eIDAS?eIDAS

标签: 身份认证 eIDAS

个人软件定制开发知识你懂多少?

个人软件定制开发知识你懂多少?

随着网络的发展,现在不仅仅是大型企业集团的工作需要使用各种办公协助软件,单个个体不管是生活娱乐还是自主办公创业,都离不开软件的辅助,毕竟网络大数据时代,能够合理的利用AI科技让我们

标签: 软件定制 个人软件定制 个人软件定制开发