歐斯瑞官網全新上線!專業團隊持續為您服務!

PHP中的多個漏洞可造成任意代碼的執行

PHP中的多個漏洞可造成任意代碼的執行

本篇文章取自網路安全中心 (Center for Internet Security) 所撰寫 數個PHP漏洞可造成任意代碼的執行

MS-ISAC 諮詢編號:

2019-087

發佈日期:

09/03/2019

總覽:

網路安全中心 近期釋出在PHP中發現了許多漏洞的消息。其中最為嚴重的漏洞可允許任意代碼的執行。PHP是一程式語言。最初的設計適用於具有HTML內容的網路應用程式。PHP不但支援各式各樣的平台,同時也使用於許多網路應用軟體程式中。若是成功利用當中最嚴重的漏洞,則導致受影響的應用程式任意執行代碼。根據應用程式相關的權限,攻擊者可安裝程式、檢視、更改或刪除資料,甚至建立具有完整權限的新帳戶。最嚴重的情況會導致遭受DOS攻擊。

威脅情報:

目前尚未有關於這些漏洞被利用的報導。

受影響的版本:

  • PHP 7.1.32 前的 7.1 版本
  • PHP 7.2.22 前的 7.2 版本
  • PHP 7.3.9 前的 7.3 版本

風險:

政府:

  • 大型與中型政府型態:
  • 小型政府型態:

企業:

  • 大型與中型企業型態:
  • 小型企業型態:

家用用戶:

技術摘要:

在PHP中發現了多個漏洞,其中最為嚴重的漏洞可允許任意程式碼的執行。以下為漏洞的詳細資訊:

版本 7.3.9

  • Bug #78363 (Buffer overflow in zendparse)
  • Bug #78379 (Cast to object confuses GC, causes crash)
  • Bug #78412 (Generator incorrectly reports non-releasable $this as GC child)
  • Bug #77946 (Bad cURL resources returned by curl_multi_info_read()
  • Bug #78333 (Exif crash (bus error)
  • Bug #77185 (Use-after-free in FPM master event handling)
  • Bug #78342 (Bus error in configure test for iconv //IGNORE)
  • Bug #78380 (Oniguruma 6.9.3 fixes CVEs)
  • Bug #78179 (MariaDB server version incorrectly detected)
  • Bug #78213 (Empty row pocket)
  • Bug #77191 (Assertion failure in dce_live_ranges()
  • Bug #69100 (Bus error from stream_copy_to_stream (file -> SSL stream)
  • Bug #78282 (atime and mtime mismatch)
  • Bug #78326 (improper memory deallocation on stream_get_contents()
  • Bug #78346 (strip_tags no longer handling nested php tags)

版本 7.2.22

  • Bug #78363 (Buffer overflow in zendparse)
  • Bug #78379 (Cast to object confuses GC, causes crash)
  • Bug #77946 (Bad cURL resources returned by curl_multi_info_read()
  • Bug #78333 (Exif crash (bus error)
  • Bug #78342 (Bus error in configure test for iconv //IGNORE)
  • Bug #78179 (MariaDB server version incorrectly detected)
  • Bug #77191 (Assertion failure in dce_live_ranges()
  • Bug #69100 (Bus error from stream_copy_to_stream (file -> SSL stream)
  • Bug #78282 (atime and mtime mismatch)
  • Bug #78326 (improper memory deallocation on stream_get_contents()

版本 7.1.32

  • Bug #75457 (heap use-after-free in pcrelib)

建議:

我們建議採取以下措施:

  • 經過適當的測試後,立即升級至最新PHP版本。
  • 應用補丁前先確認系統中沒有發生任何未經授權的系統修改。
  • 將最小權限的原則應用在所有系統與服務中。
  • 提醒用戶不要訪問由未知或不可信任來源所提供的網站及連結。

參考網址:

PHP:

https://www.php.net/ChangeLog-7.php#7.1.32

https://www.php.net/ChangeLog-7.php#7.2.22

https://www.php.net/ChangeLog-7.php#7.3.9

翻譯文章:

網路安全中心 (Center for Internet Security) – 數個PHP漏洞可造成任意代碼的執行

 

若您有需要PHP版本升級的服務,歡迎與我們聯繫

也歡迎追蹤我們的粉絲專頁,隨時掌握最新資訊!

後端開發, 技術應用

分享此文章

我要留言

你的電子郵件位址並不會被公開。 必要欄位標記為 *

Related Posts

2018-05-30

Progressive Web Application (PWA) – 漸進式網頁應用程式

Read More
2019-01-30

A/A測試是什麼?

Read More
2015-01-29

利用Google的Structured Data Testing Tool檢查schema標記是否正確

Read More
如何建立magento佈景主題 2015-05-29

如何建立magento佈景主題

Read More
2018-01-11

MacOS 升級High Sierra 導致Sass失效

Read More
如何在Magento的首頁上增加最新產品的列表 2015-12-11

如何在Magento的首頁上增加最新產品的列表

Read More

WHY ASTRALWEB

讓歐斯瑞陪伴,安心開展電商渠道

具備官方認證的專業團隊,與您一起開創業績前線

架構規劃

不容忽略的建置根基,依需求通盤考量,打造安全穩定的網站

系統整合

ERP、POS、CRM...等系統串接,有效增進企業內部操作效率

功能客製

市面既有功能無法滿足需求?就交給歐斯瑞客製開發

資安保障

掌握最新網路安全訊息,即時提供應有配套措施

速度優化

優化網頁載入速度,讓客戶得到更佳體驗,增進黏著度

即時監控

不停休的監控服務,快速協助解決異常問題

(02)2928-0909