世界上最好的語言PHP 爆出高危漏洞:你信嗎?

Editor發表於2019-09-09

世界上最好的語言PHP 爆出高危漏洞:你信嗎?



首先我想問你覺得PHP是世界上最好的語言嗎?

你肯定回答不上來。

因為仔細思考,每種語言都有各自的特點,在不同的領域發光發熱。

PHP居然也會有高危漏洞


超文字前處理器,通常稱為PHP,是目前最流行的伺服器端Web程式語言。

在我們所知道的伺服器端程式語言的所有網站中,超過79%使用 PHP 。因此,你在Internet上訪問的每10個網站中幾乎有8個以某種方式使用PHP。
但近期,PHP程式語言的維護者發現了一些高危漏洞,其中最嚴重的漏洞允許遠端攻擊者在受影響的應用程式中執行具有相關許可權的任意程式碼並破壞目標伺服器。


另一方面,失敗的攻擊嘗試可能會導致受影響系統上的拒絕服務(DoS攻擊)。

這個缺陷會影響多個元件,包括curl擴充套件、Exif函式、FastCGI程式管理器(FPM)、Opcache功能等。

其中還有一個漏洞,名為CVE-2019-13224,是一個“免費使用”程式碼執行問題,存在於Oniguruma中,Oniguruma是一個BSD許可的正規表示式庫,支援各種字元編碼,它捆綁在幾種程式語言中,包括PHP。


遠端攻擊者可以利用這個漏洞,在受影響的web應用程式中插入一個經過特殊設計的正規表示式,從而可能導致程式碼執行或資訊洩露。


儘快更新你的PHP


這些漏洞可能會使成千上萬的依賴PHP的Web應用程式遭受程式碼執行攻擊,包括一些由流行的內容管理系統(如WordPress,Drupal和Typo3)提供支援的網站。

好訊息是,到目前為止,還沒有任何關於攻擊者利用這些安全漏洞的報告。

日前,PHP安全團隊已經發布了最新版本的PHP,並解決了這些漏洞。幾個最新版本包括PHP版本7.3.9,7.2.22和7.1.32。

世界上最好的語言PHP 爆出高危漏洞:你信嗎?

因此,為了防範風險,強烈建議使用者和主機提供商儘快將其伺服器升級到最新的PHP版本。


*本文由看雪編輯LYA編譯自 The Hacker News,轉載請註明來源及作者。

相關文章