PHP重要的安全更新：5.4.2 和 5.3.12

淘主机

PHP 5.3.12 and 5.4.2刚刚发布了，修复一个讨厌的安全漏洞，该漏洞导致可通过网页给 PHP 解释器传递命令参数，该漏洞仅影响那些通过 CGI 机制调用 PHP 的情况，如果你使用了 Apache 的 mod_cgi 来运行 PHP，那么你可能被攻击。               

PHP 5.4 (5.4.2)Download source code [21.2MB]
PHP 5.3 (5.3.12)Download source code [20.9MB]

淘主机

上周三，一个 PHP 远程代码执行漏洞被意外公开，引起了很多用户的恐慌。此漏洞使许多基于 PHP 开发的网站存在被入侵的风险。
据CERT（计算机安全应急响应组织）介绍，当 PHP 以 CGI 模式运行时 （如 Apache 的 mod_cgid模块），php-cgi 会接受处理一个查询字符串作为命令行参数以开启某些功能（例如，将 –s、-d 或 -c 传递给 php-cgi）。此漏洞可以允许攻击者查看网站源代码，或未经许可执行任意代码等。
虽然 PHP 官方及时针对该漏洞发布了PHP 5.3.12 和 5.4.2这两个更新版本，但安全网站 Eindbazen 表示，此次安全更新并未能真正修复该漏洞。Eindbazen 在团队博客中写道：

在最新发布的PHP 5.3.12 和 5.4.2版本中存在一个Bug，使得攻击者可以绕过该修补程序。

此观点得到了 PHP 官方的认可。近日，PHP 官方网站给出了一套新的解决方案。同时，还表示将于本月8号再次放出安全更新，并承诺新版本会真正解决 CGI 漏洞和其它相关的一些漏洞所带来的问题。