10秒后自動(dòng)關(guān)閉
PHP曝遠(yuǎn)程DOS漏洞可致CPU持續(xù)占滿,請(qǐng)注意升級(jí)

 

 

    PHP是一個(gè)開放的平臺(tái),集成了廣大PHP愛好者的智慧精華,為社會(huì)產(chǎn)生了極大的效益,使用十分廣泛。

    但是PHP曝出的漏洞也不小,前不久一次hash漏洞導(dǎo)致PHP服務(wù)器CPU占滿,最近一次的遠(yuǎn)程DOS漏洞也導(dǎo)致PHP服務(wù)器拒絕服務(wù),導(dǎo)致多個(gè)版本的PHP受到波及:

    • PHP 5.0.0 - 5.0.5
    • PHP 5.1.0 - 5.1.6
    • PHP 5.2.0 - 5.2.17
    • PHP 5.3.0 - 5.3.29
    • PHP 5.4.0 - 5.4.40 (5.4.41已經(jīng)修復(fù))
    • PHP 5.5.0 - 5.5.24 (5.5.25已經(jīng)修復(fù))
    • PHP 5.6.0 - 5.6.8  (5.6.9已經(jīng)修復(fù))

    據(jù)分析,此次DOS漏洞產(chǎn)生的原因是PHP解析multipart/form-data的http請(qǐng)求時(shí),在body部分的請(qǐng)求頭部分,重復(fù)拷貝字符串導(dǎo)致CPU消耗。而遠(yuǎn)程攻擊者可以通過發(fā)送數(shù)據(jù)量足夠大的multipart/form-data請(qǐng)求,導(dǎo)致服務(wù)器CPU資源被耗盡,從而產(chǎn)生DOS漏洞。

    bug #69364 (PHP Multipart/form-data remote dos Vulnerability).

 

    針對(duì)以上嚴(yán)重問題,PHP官方也做出了響應(yīng),推出了升級(jí)補(bǔ)丁,但補(bǔ)丁僅限于5.4/5.5/5.6,并沒有5.2和5.3的,護(hù)衛(wèi)神也及時(shí)推出PHP環(huán)境一鍵安裝包,歡迎廣大用戶下載升級(jí)或安裝,地址:http://www.smartrecovery.cn/soft/php/

護(hù)衛(wèi)神PHP環(huán)境安裝有

 

    針對(duì)PHP5.3.x和PHP5.2.x,我們會(huì)跟進(jìn)PHP官方,及時(shí)升級(jí)。