淘主机论坛

 找回密码
 成为淘友

QQ登录

只需一步,快速开始

查看: 2101|回复: 1

[简讯] PHP重要的安全更新:5.4.2 和 5.3.12

[复制链接]
发表于 2012-5-4 18:29:31 | 显示全部楼层 |阅读模式

PHP 5.3.12 and 5.4.2
刚刚发布了,修复一个讨厌的安全漏洞,该漏洞导致可通过网页给 PHP 解释器传递命令参数,该漏洞仅影响那些通过 CGI 机制调用 PHP 的情况,如果你使用了 Apache 的 mod_cgi 来运行 PHP,那么你可能被攻击。               

PHP 5.4 (5.4.2)Download source code [21.2MB]
PHP 5.3 (5.3.12)Download source code [20.9MB]

 楼主| 发表于 2012-5-9 11:29:54 | 显示全部楼层

PHP 安全更新被指无效,官方推出新解决方案

上周三,一个 PHP 远程代码执行漏洞被意外公开,引起了很多用户的恐慌。此漏洞使许多基于 PHP 开发的网站存在被入侵的风险。
据CERT(计算机安全应急响应组织)介绍,当 PHP 以 CGI 模式运行时 (如 Apache 的 mod_cgid模块),php-cgi 会接受处理一个查询字符串作为命令行参数以开启某些功能(例如,将 –s、-d 或 -c 传递给 php-cgi)。此漏洞可以允许攻击者查看网站源代码,或未经许可执行任意代码等。
虽然 PHP 官方及时针对该漏洞发布了PHP 5.3.12 和 5.4.2这两个更新版本,但安全网站 Eindbazen 表示,此次安全更新并未能真正修复该漏洞。Eindbazen 在团队博客中写道:
在最新发布的PHP 5.3.12 和 5.4.2版本中存在一个Bug,使得攻击者可以绕过该修补程序。
此观点得到了 PHP 官方的认可。近日,PHP 官方网站给出了一套新的解决方案。同时,还表示将于本月8号再次放出安全更新,并承诺新版本会真正解决 CGI 漏洞和其它相关的一些漏洞所带来的问题。



您需要登录后才可以回帖 登录 | 成为淘友

本版积分规则

Archiver|手机版|小黑屋|淘主机

GMT+8, 2022-5-22 05:49

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表