PHP编程语言中发现多个代码执行缺陷
2019-09-08
PHP编程语言的维护者最近发布了最新版本的PHP,用于修补其核心和捆绑库中的多个高严重性漏洞,其中最严重的漏洞可能允许远程攻击者执行任意代码并破坏目标服务器。
超文本预处理器,通常称为PHP,是目前最受欢迎的服务器端Web编程语言,它支持78%以上的Internet。
几个维护分支下的最新版本包括PHP版本7.3.9,7.2.22和7.1.32,解决了多个安全漏洞。
根据PHP应用程序中受影响的代码库的类型,发生和使用情况,成功利用某些最严重的漏洞可能允许攻击者在受影响的应用程序的上下文中执行具有相关权限的任意代码。
另一方面,失败的攻击尝试可能会导致受影响系统上的拒绝服务(DoS)条件。
这些漏洞可能会使成千上万的依赖PHP的Web应用程序遭受代码执行攻击,包括由一些流行的内容管理系统(如WordPress,Drupal和Typo3)提供支持的网站。
其中,分配为CVE-2019-13224的“免费后使用”代码执行漏洞存在于Oniguruma中,Oniguruma是一个流行的正则表达式库,它与PHP捆绑在一起,以及许多其他编程语言。
远程攻击者可以通过在受影响的Web应用程序中插入特制的正则表达式来利用此漏洞,从而可能导致代码执行或导致信息泄露。
“攻击者提供了一对正则表达式模式和一个字符串的,条件是得到由onig_new_deluxe()处理的多字节编码,”红帽说,在它的安全性咨询描述的脆弱性。
其他修补缺陷会影响卷曲扩展,Exif功能,FastCGI流程管理器(FPM),Opcache功能等。
好消息是到目前为止还没有任何关于攻击者在野外利用这些安全漏洞的报告。
PHP安全团队已经解决了最新版本中的漏洞。因此,用户和托管服务提供商,强烈建议到他们的服务器升级到最新版本的PHP 7.3.9,7.2.22或7.1.32。
