PHP重要的安全更新:5.4.2 和 5.3.12
PHP 5.3.12 and 5.4.2刚刚发布了,修复一个讨厌的安全漏洞,该漏洞导致可通过网页给 PHP 解释器传递命令参数,该漏洞仅影响那些通过 CGI 机制调用 PHP 的情况,如果你使用了 Apache 的 mod_cgi 来运行 PHP,那么你可能被攻击。
PHP 5.4 (5.4.2)Download source code
PHP 5.3 (5.3.12)Download source code
PHP 安全更新被指无效,官方推出新解决方案
上周三,一个 PHP 远程代码执行漏洞被意外公开,引起了很多用户的恐慌。此漏洞使许多基于 PHP 开发的网站存在被入侵的风险。据CERT(计算机安全应急响应组织)介绍,当 PHP 以 CGI 模式运行时 (如 Apache 的 mod_cgid模块),php-cgi 会接受处理一个查询字符串作为命令行参数以开启某些功能(例如,将 –s、-d 或 -c 传递给 php-cgi)。此漏洞可以允许攻击者查看网站源代码,或未经许可执行任意代码等。
虽然 PHP 官方及时针对该漏洞发布了PHP 5.3.12 和 5.4.2这两个更新版本,但安全网站 Eindbazen 表示,此次安全更新并未能真正修复该漏洞。Eindbazen 在团队博客中写道:
在最新发布的PHP 5.3.12 和 5.4.2版本中存在一个Bug,使得攻击者可以绕过该修补程序。
此观点得到了 PHP 官方的认可。近日,PHP 官方网站给出了一套新的解决方案。同时,还表示将于本月8号再次放出安全更新,并承诺新版本会真正解决 CGI 漏洞和其它相关的一些漏洞所带来的问题。
页:
[1]