99久久国产综合精品国_亚洲av日韩aⅴ电影_午夜福利在线电影_亚洲aⅤ色欲久久一区二区三区_91九色蝌蚪国产精品_亚洲av无码乱码在线观看四虎_4国产精品无码制服丝袜_亚洲Av成人五月天在线观看_牛牛成人永久免费视频_午夜福利在线资源

本文原創(chuàng)作者：CNNVD

來源：FreeBuf.COM

近日，國家信息安全漏洞庫（CNNVD）收到多個關(guān)于“PHP7”漏洞情況的報送。其中編號為CNNVD-201612-760和CNNVD-201612-761的兩個漏洞影響PHP7版本，利用難度較大；編號為CNNVD-201612-759的漏洞同時影響PHP7版本和PHP5版本，利用難度較小。

目前多個主流內(nèi)容管理平臺基于PHP5開發(fā)，因此漏洞影響范圍較廣，國家信息安全漏洞庫（CNNVD）對上述漏洞進(jìn)行了跟蹤分析，情況如下：

一、 漏洞簡介

PHP（PHP：Hypertext Preprocessor，PHP：超文本預(yù)處理器）是PHP Group和開放源代碼社區(qū)共同維護(hù)的一種開源的通用計算機(jī)腳本語言。該語言支持多重語法、支持多數(shù)據(jù)庫及操作系統(tǒng)和支持C、C++進(jìn)行程序擴(kuò)展等。

PHP 5.6.26版本和7.0至7.0.13版本中存在遠(yuǎn)程拒絕服務(wù)漏洞（CNNVD-201612-759，CVE-2016-7478）。攻擊者可利用該漏洞造成拒絕服務(wù)。

PHP 7.0至7.0.13版本中存在拒絕服務(wù)漏洞（CNNVD-201612-760，CVE-2016-7479）。攻擊者可利用該漏洞造成拒絕服務(wù)（無限循環(huán)）。

PHP 7.0.12之前的版本中存在遠(yuǎn)程代碼執(zhí)行漏洞（CNNVD-201612-761，CVE-2016-7480）。遠(yuǎn)程攻擊者可利用SplObjectStorage對象的反序列化函數(shù)使用未初始化變量，導(dǎo)致修改內(nèi)存數(shù)據(jù)，執(zhí)行任意代碼。

二、 漏洞危害

攻擊者可以利用上述漏洞遠(yuǎn)程控制服務(wù)器，或者導(dǎo)致網(wǎng)站癱瘓。此外，目前多個主流內(nèi)容管理平臺基于PHP5開發(fā)，攻擊者可利用上述漏洞機(jī)制對PHP5的主流平臺進(jìn)行攻擊，如Magento、vBulletin、Drupal和Joomla!。

三、 修復(fù)措施

PHP官方已提供最新版本的PHP7，新版本中不存在上述漏洞，PHP7最新版本下載鏈接如下：

http://php.net/downloads.php#php-7.1

針對上述編號為CNNVD-201612-759和CNNVD-201612-761的漏洞，Github已提供了修復(fù)措施，不方便升級至最新版PHP7的用戶可參考如下鏈接：

https://github.com/php/php-src/commit/bcd64a9bdd8afcf7f91a12e700d12d12eedc136b

本通報由CNNVD技術(shù)支撐單位——北京神州綠盟信息安全科技股份有限公司、安天實(shí)驗室提供支持。

CNNVD將繼續(xù)跟蹤上述漏洞的相關(guān)情況，及時發(fā)布相關(guān)信息。如有需要，可與CNNVD聯(lián)系。

聯(lián)系方式: cnnvd@itsec.gov.cn

原文地址：http://www.freebuf.com/vuls/124519.html