PHP安全团队已发布安全补丁修复PHP 7中的高危漏洞
近期国外安全研究团队CheckPoint花费数月时间检查PHP 7的反序列化机制,发现了三个新的高危安全漏洞。
这三处漏洞足以影响到全球80%的运行PHP的网站,在此前的PHP 5的反序列化机制中也曾出现过类似漏洞。
这几处安全漏洞的编号分别为:
- CVE-2016-7479:释放后使用代码执行
- CVE-2016-7480:使用未初始化的代码执行
- CVE-2016-7478:远程拒绝服务
其中前两个漏洞将允许攻击者完全控制目标服务器,从而使攻击者窃取服务器上的数据、进行传播恶意软件或者做他们想做的任何事。
第三处漏洞则可能会被用来发起拒绝服务(DoS)攻击,从而耗尽目标服务器的带宽、内存与CPU资源,从而使目标服务器无法正常运行。
CheckPoint称这三个漏洞均是新发现且从未被利用过的漏洞,因此至少就目前来看及时修复是非常有必要的。
该安全团队已经在今年8月份和9月份向PHP官方提交了漏洞细节,PHP安全团队最近也发布了补丁进行修复。
不过目前PHP安全团队只修复了这三个高危漏洞中的前两个,第三个安全漏洞目前还未发布补丁进行修复。
在此也特别提醒使用PHP的用户尽快升级到最新版本来修复漏洞,PHP 7的近期更新日志:ChangeLog
有兴趣的网友可以前往CheakPoint查看详细的文档:Exploiting-PHP-7-unserialize-Report-160829.pdf