黑客365

首页 » 系统漏洞 » 阅读文章

PHP 5.3.10 紧急发布

2012-02-03 15:31 2897 0 发表评论

 

离上一个版本2012-01-11的5.3.9过了很短的时间,只是紧急修正了一个安全漏洞。2012-02-02 请尽量升级。

Fixed arbitrary remote code execution vulnerability reported by Stefan Esser, CVE-2012-0830.

PHP 5.3.9被黑客发现存在严重的安全漏洞

PHP 5.3.9被黑客发现存在严重的安全漏洞,远程攻击者可以直接利用此漏洞执行任意PHP代码,安全风险非常高。经过跟进,该漏洞(CVE-2012-0830)是由于PHP官方为解决多语言hash漏洞引入了新的机制产生的新的安全漏洞

【漏洞影响版本】

PHP 5.3.9

注:在修复PHP多语言hash漏洞时若采用直接打补丁的方式(补丁地址:https://github.com/laruence/laruence.github.com/tree/master/php-5.2-max-input-vars)不受此漏洞影响。

【修复方案】

目前PHP官方已经紧急发布了5.3.10,下载地址为http://www.php.net/downloads.php ,大家使用PHP 5.3.9版本的朋友建议更新5.3.10,更新前先进行测试。

之前还没有完成PHP多语言hash漏洞修复(即目前还没有升级到PHP 5.3.9)的同事现在可以直接升级到5.3.10来完成漏洞修复,不要再使用PHP 5.3.9版本。

 

漏洞说明

Package : php5
Vulnerability : code injection
Problem type : remote
Debian-specific: no
CVE ID : CVE-2012-0830

Stefan Esser discovered that the implementation of the max_input_vars
configuration variable in a recent PHP security update was flawed such
that it allows remote attackers to crash PHP or potentially execute
code.

For the oldstable distribution (lenny), no fix is available at this time.

For the stable distribution (squeeze), this problem has been fixed in
version 5.3.3-7+squeeze7.

The testing distribution (wheezy) and unstable distribution (sid)
will be fixed soon.

We recommend that you upgrade your php5 packages.


收藏此文



评论 共0条 (RSS 2.0) 发表评论

  1. 暂无评论,快抢沙发吧。

发表评论

  • 使用新浪微博登陆
  • 
    疑问 冷笑 悲伤 坏蛋 感叹 微笑 脸红 大笑 吃惊 惊讶 困惑 酷 大声笑 恼火 古怪 转眼睛 给眼色 好主意 箭头 一般 哭了 绿人
  • want to say:

回到页首