A-A+

[漏洞预警公告]PHP Multipartform-data 远程DOS攻击漏洞

2015年05月22日 安全 暂无评论 阅读 38 次浏览 次

缘由

PHP Multipartform-data远程DOS攻击漏洞,恶意构造的请求会导致服务器的cpu使用率达到100%。全版本受影响,危害严重。请尽快修复漏洞。
 

受影响的软件及系统

PHP 5.0.0 – 5.0.5

PHP 5.1.0 – 5.1.6

PHP 5.2.0 – 5.2.17

PHP 5.3.0 – 5.3.29

PHP 5.4.0 – 5.4.40

PHP 5.5.0 – 5.5.24

PHP 5.6.0 – 5.6.8
 

未受影响的软件及系统:

PHP 5.4.41

PHP 5.5.25

PHP 5.6.9


以下是源码漏洞分析

PHP multipart/form-data 远程DOS漏洞
 

更新到官网最新版本得到修复

 

官网的漏洞报告和讨论

内容摘抄:


鸟哥也在关注这个漏洞哟

[2015-05-15 05:37 UTC] laruence@php.net

does this needs a CVE id?

有人问 php5.3.x系列的修复呢?

[2015-05-19 03:04 UTC] welpher dot yu at gmail dot com

what about 5.3?

官方回答请看php版本支持信息

[2015-05-19 03:47 UTC] stas@php.net

5.3 is EOL since last year: http://php.net/supported-versions.php
 
在 php版本支持信息 中我们看到 php5.3支持已经过期了,也就是就算是有严重bug官方也不会修复php5.3.x系列了.

php5.3.x系列的最终版是php5.3.29
 

总结

如果你线上使用的是 php5.4.x or php5.5.x or php5.6.x请升级到官网最新版本;

如果你使用的是php5.3.29 or php5.3.x 建议升级到 php5.4.41;

其中php升级带来的代码兼容问题请结合自己的项目参考官方文档进行升级。
 
 
如果是php5.3.x系列想停留在现在的版本,得自己修改php源码,修复本漏洞.
php5.3.29的民间补丁

评论已关闭!

Copyright © 火网互联IDC咨询中心 保留所有权利.   Theme  Ality 蜀ICP备14006632号-1

用户登录