在PHP編程語言中發現多個代碼執行缺陷
責編:gltian |2019-09-12 11:19:21
PHP編程語言的維護人員最近發布了最新版本的PHP,以修補其核心庫和捆綁庫中的多個高嚴重性漏洞,其中最嚴重的漏洞可能允許遠程攻擊者執行任意代碼并危害目標服務器。
超文本預處理器,通常被稱為PHP,是當今最流行的服務器端web編程語言,在互聯網上的應用超過78%。
幾個維護分支下的最新版本包括PHP7.3.9、7.2.22和7.1.32,解決了多個安全漏洞。
根據受影響的代碼庫在PHP應用程序中的類型、出現次數和使用情況,成功利用某些最嚴重的漏洞可使攻擊者以相關權限在受影響的應用程序上下文中執行任意代碼。
另一方面,攻擊失敗可能會導致受影響系統上出現拒絕服務(DoS)情況。
這些漏洞可能導致數十萬個依賴PHP的web應用程序面臨代碼執行攻擊,其中包括一些受歡迎的內容管理系統(如wordpress、drupal和typo3)支持的網站。
其中,一個“釋放后使用”的代碼執行漏洞(分配為CVE-2019-13224)位于Oniguruma中,Oniguruma是一個流行的正則表達式庫,與PHP以及許多其他編程語言捆綁在一起。
遠程攻擊者可以通過在受影響的Web應用程序中插入巧盡心思構建的正則表達式來利用此漏洞,這可能導致代碼執行或導致信息泄漏。
“攻擊者提供了一對正則表達式和一個字符串,其多字節編碼由onig_new_deluxe()處理,”Red Hat在描述該漏洞的安全公告中說道。
其他修補的缺陷會影響Curl擴展、Exif函數、FastCGI進程管理器(FPM)、opcache特性等。
好消息是,到目前為止,還沒有關于攻擊者在野外利用這些安全漏洞的報告。
PHP安全團隊已經解決了最新版本中的漏洞。因此,強烈建議用戶和主機提供商將服務器升級到最新的php 7.3.9、7.2.22或7.1.32版本。