您的位置:博客首页 >> 业界资讯 >> [重要]PHP 5.3.10 Released!

[重要]PHP 5.3.10 Released!

日志编号:68 发表时间: 2012-02-04 10:42:19 关注次数:3885
Security Fixes in PHP 5.3.10:
Fixed arbitrary remote code execution vulnerability reported by Stefan Esser, CVE-2012-0830. 
All users are strongly encouraged to upgrade to PHP 5.3.10.

先前5.3.9修复Hash冲突漏洞(http://www.flashgou.com/show/64)后,出了新BUG:Php max_input_vars任意代码执行漏洞(CVE-2012-0830)

[quote]PHP在12月为哈希碰撞拒绝服务(CVE-2011-4885)提供的补丁引出了另一个严重的安全漏洞。

防止哈希碰撞的补丁在php.ini中引入了新的配置属性:
max_input_vars

此配置元素限制用于请求中使用的变量数量(如http://request.com/foo.php?a=1&b=2&c=3),默认设置为1000。

漏洞修补在php_variables.c代码中的php_register_variable_ex函数中作了更改,不过当变量数超过max_input_vars,而变量又是数组变量时(if (*p == ‘['))可触发此漏洞。漏洞可导致任意代码执行。<* 参考
https://bugs.php.net/bug.php?id=60708 
http://thexploit.com/sec/critical-php-remote-vulnerability-introduced-in-fix-for-php-hashtable-collision-dos/
*>[/quote]

简单讲,上个bug会导致服务器受到DDOS,而新的BUG则会导致服务器权限被拿下。所以官方“strongly encouraged to upgrade to PHP 5.3.10”

关于更新:可以参考http://www.flashgou.com/show/25 文中php安装段,make&&make install
注意需要重新安装扩展(其中删除解压也可以以make clean代替):
rm -rf eaccelerator-0.9.6.1
tar jxvf eaccelerator-0.9.6.1.tar.bz2
cd eaccelerator-0.9.6.1
/usr/local/webroot/php/bin/phpize
 
./configure \
 --enable-eaccelerator=shared \
 --with-php-config=/usr/local/webroot/php/bin/php-config

make
make install


然后
kill -SIGUSR2  `cat /usr/local/php/var/run/php-fpm.pid`
/usr/local/nginx/sbin/nginx -s reload
即可在phpinfo中看到php 5.3.10的信息(不过我服务器把phpinfo函数禁止了,可以使用<?php PHPVERSION();?>显示),期间不需要停止nginx。如果还不行就挑个夜深人静的时候reboot下,更新不需要修改php.ini。

php下载:http://www.php.net/downloads.php#v5 官网,必须的,别去其他站下。putty事件还不能引起重视吗?

相关:http://sebug.net/vuldb/ssvid-30071
本站不提供讨论功能。
本站所有非新闻类文章均为原创,且禁止转载。
本站为了获得更多流量赚取广告费,难免会有以次充好的文章,望见谅,勿鄙视。